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Preface 

E n matiere de management des risques, on n’a jamais raison seul et c’est toujours 
du partage des experiences que nait l’innovation. Le groupe de travail que je 
preside a l’Association nationale des directeurs financiers et de controle de gestion 
(DFCG), via les echanges que nous avons entre professionnels du controle interne et 
du risk management, en est l’illustration. Pascal Kerebel est un contributeur majeur 
de ce groupe et du cahier technique que nous produisons en ce moment sur la 
communication sur l’efficacite du controle interne. Le present ouvrage, dont j’ai 
l’honneur de rediger la preface, est une synthese des meilleures pratiques methodo- 
logiques existantes en termes de risk management, tant au niveau industriel que dans 
la banque et l’assurance. 

V ouvrage a l’interet majeur de presenter des « boites a outils » operationnelles, trai- 
tant d’aspects methodologiques mais aussi comportementaux, dans lesquelles les 
differents professionnels peuvent « piocher » afin de deployer leurs dispositifs de 
management du risque. 

L’ auteur developpe aussi des thematiques de reflexion sur les limites des dispositifs 
methodologiques actuels, et sur la complementarite des fonctions d’audit interne, de 
controle interne, de risk management et de qualite. 

La montee en puissance des dispositifs de risk management est une priorite majeure 
des groupes cotes. L’actualite recente nous montre, malheureusement, les limites des 
dispositifs mis en oeuvre et l’obligation imperative de repenser la mise sous controle 
des risques significatifs pouvant remettre en cause les objectifs strategiques, voire la 
perennite des organisations. 

Construire un dispositif de risk management n’est pas un exercice fige dans le temps 
ni definitif. II se doit d’etre adaptable et evolutif. Bien positionne et disposant de 
moyens suffisants, il est un vecteur d’ amelioration de performance et permet de 
federer les acteurs autour d’un meme objectif. 

L’ ouvrage de Pascal, en integrant les meilleures pratiques en termes de gouvemance 
et de conformite, contribue de fafon significative a la necessaire refondation des 
dispositifs de management du risque et de controle interne. II permet de redonner 
du sens a faction en rappelant que les facteurs cles de succes d’une telle demarche 
restent le bon sens et l’implication des dirigeants. 

Florence Giot, 

Presidente de la commission controle interne 
de la DFCG 



© Groupe Eyrolles 


Introduction 

L ?objectif de cet ouvrage est de presenter 1’ ensemble des options offertes aux 
entreprises, en vue de mettre sous controle leurs risques pour proteger leurs 
interets strategiques, ainsi que la remuneration des preneurs de risques fin an cant 
leurs activites. L’ouvrage met en exergue deux concepts : 

• la notion de corporate risk management met en relief la necessite pour l’entreprise 
de placer sous controle les risques purs, c’est-a-dire les risques aleatoires ne se tra- 
duisant que par une perte financiere s’ils se materialised (incendie, rupture 
d’approvisionnement, etc.). Le corporate risk management se fixe done pour 
objectifs d’identifier et de mettre sous controle cette typologie de risques, en met- 
tant tout en oeuvre pour que ces risques ne puissent se materialise^ mais aussi, le 
risque zero n’existant pas, a mettre en oeuvre des outils de gestion de crise dans 
l’hypothese de la materialisation du risque ; 

• la notion de business risk management, quant a elle, souligne la necessite de mettre 
sous controle des risques strategiques et financiers speculates (c’est-a-dire se tra- 
duisant par un gain ou une perte). La demarche vise done a s’ assurer que 1’ ensem- 
ble des decisions strategiques sont effectivement mises sous controle (lancement 
d’un nouveau produit, rachat d’une societe, creation d’une filiale). 

Les deux demarches s’averent done complementaires puisque le corporate risk 
management vise a proteger les orientations strategiques definies dans le cadre de 
1’ elaboration du business model et du business plan, alors que le business risk manage- 
ment vise a s’assurer que les dispositifs de pilotage ou d’atterrissage sont effective - 
ment mis sous controle. 

Notre objectif pedagogique est de presenter dans cet ouvrage la boite a outils du 
manager des risques quel qu’il soit (directeur financier, DAF, directeur operationnel, 
controleur, auditeur interne), en lui proposant des axes d’ actions et de progres faciles 
a mettre en oeuvre. 

L’ouvrage presente, tout d’abord, les grands principes methodologiques inherents a 
la mise en oeuvre d’un dispositif de risk management efficace. II expose ensuite les 
outils dedies aux groupes industriels ; et enfin, les demarches applicables aux 
banques et compagnies d’assurances. 

II s’agit ici de faire prendre conscience au lecteur que revolution des reglementa- 
tions lui demandera de : 

• mettre en exergue les risques significatifs pouvant affecter le business model de 
l’entreprise ; 

• quantifier les impacts de la realisation de ces risques en termes de key data (cash- 
flows, resultat operationnel, etc.). 

Nous esperons que cet ouvrage vous permettra de construire, avec la plus grande 
efficacite, le dispositif de risk management de votre entreprise. 



Premiere partie 

Contraintes reglementaires et methodologies 


L’objectif de cette premiere partie consiste a presenter au lecteur : 

• les contraintes reglementaires imposees aux groupes en termes de construction de 
dispositif de risk management ; 

• la methodologie de reference applicable en termes d’ identification et de mise sous 
controle des risques. 



Chapitre 1 

Presentation des contraintes reglementaires 

Analyse comparative des reglementations LSF, Sarbanes-Oxley, 
8 e directive europeenne sur I'audit legal 

Les reglementations americaines ou europeennes concemant le corporate risk mana- 
gement visent a s’ assurer de la mise sous controle effective des risques purs pouvant 
affecter la surface financiere des groupes cotes et creer des dommages environne- 
mentaux substantiels. 

Precon isations des reglementations europeenne et americaine 
en termes de corporate risk management 

Analyse comparative des reglementations sur le corporate risk management 


Points communs entre 

Points specifiques 

reglementations 

Sarbanes-Oxley 

8 e directive 
europeenne 

LSF 

Objectifs 

Securiser I’actionnaire 
et I’investisseur quant 
a la sincerity des etats 
financiers 

S’engager sur la pro- 
tection des cash-flows 
et de la remuneration 
de I’actionnaire 

Prevenir la reconduc- 
tion d’un scandale 
financier type Enron 

Prevenir la reconduc- 
tion d’un scandale 
financier 
type Parmalat 


Definition du controle interne et des risques 

Pas de definition com- 
mune 

Orientation revision 
comptable et preven- 
tion de la criminalite 
interne 

Concept de risk 
management 

Absence de definition 
specifique 

Champ ou types de risques pris en compte, purs ou speculates 

Pas de definition com- 
mune 

Risques affectant la 
sincerity des comptes 
Risques lies aux pro- 
cessus generant 
I’ecriture comptable 
(malveillance, negli- 
gence, pannes des 
SI...) 

Pas de definition spe- 
cifique 

Directive tournee vers 
la revision comptable 

Pas de definition spe- 
cifique des risques 

DS= 
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Points communs entre 
reglementations 

Points specifiques 

Sarbanes-Oxley 

8 e directive 
europeenne 

LSF 

Methodologie de reference 

Aucune methodologie 
commune 
a ce jour 
Convergence 
potentielle 

a terme vers le COSO 

Mise en exergue de 
I’environnement du 
controle interne et du 
comportement risk 
assessment 

Pas de methodologie 
commune 

Groupe de travail en 
place 

AMF preconisant la 
methodologie de 
I’lFACI, de I’ll A, du 
Medef, de I’Afep 


(Source : Sarbanes Oxley Act, LSF, 8 s directive europeenne sur I’audit legal.) 


Limite des reglementations europeenne et americaine en termes de risk 
management 

L’actualite recente (octobre 2008) montre les limites des dispositifs de mise sous 
controle des risques des groupes cotes (les recents scandales financiers tels que celui 
des subprimes aux Etats-Unis, et la chute du systeme bancaire et international en 
sont les preuves manifestes). 

Une analyse critique des reglementations telles que la loi Sarbanes-Oxley ou la 
8 e directive europeenne sur 1’ audit legal fait ressortir les insuffisances suivantes : 

• le volet environnement du controle ne permet pas, dans sa construction intellectuelle 
actuelle, de maitriser les risques strategiques des groupes cotes (tels que le risque lie au 
lancement de nouveaux produits, le risque de remise en cause de la responsabilite 
penale des mandataires sociaux, une erreur de strategic affectant la remuneration de 
l’actionnaire, etc.). En effet, cette composante du dispositif du COSO (Committee of 
Sponsoring Organizations of the Treadway Commission), methodologie de reference 
des principales reglementations portant sur le controle interne, n’est pas etayee sur des 
outils de controle effectifs, mais sur un simple principe d’ engagement sur l’honneur des 
dirigeants a appliquer un corpus de regies ethiques et deontologiques ; 

• le dispositif du COSO ne raisonne stricto sensu qu’en termes de mise sous controle 
des processus. Ainsi, ce dispositif ne prevoit pas de fafon exphcite les modes de 
mise sous controle des projets a risque pouvant affecter de fafon substantielle 
l’atteinte des objectifs strategiques des groupes cotes (cas de l’A380 chez Airbus) ; 

• le perimetre des processus mis sous controle dans la methodologie du COSO n’est 
pas suffisamment transverse, et limite au perimetre de consolidation de l’entre- 
prise. Or les risques emergents peuvent etre generes par des processus transverses 
amont (risque de rupture d’approvisionnement) ou aval (risque de distribution) 
portes par des parties prenantes. 

La loi du 3 juillet 2008 

La loi du 3 juillet 2008 renforce les exigences des groupes cotes ffanf ais en termes de 
description de dispositifs de risk management : « Dans les societes faisant appel a 
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l’epargne, le president du conseil d’ administration rend compte dans un rapport 
joint de la composition, des conditions de preparation et d’organisation des travaux 
du conseil, ainsi que des procedures de controle interne et de gestion des risques 
mises en oeuvre par la societe. . . » (article 26). 

Cette loi complete le rapport de place de l’AMF (Autorite des marches financiers), 
qui fait reference explicitement a la notion de management des risques : 

« Le dispositif de controle interne, qui est adapte aux caracteristiques de chaque 
societe, doit prevoir un systeme visant a recenser et analyser les principaux risques 
identifiables au regard des objectifs de la societe et a s’assurer de l’existence de 
procedures de gestion de ces risques. » 

La recommandation de l’AMF ne requiert toutefois pas le descriptif du dispositif de 
management des risques. Ainsi, le rapport AMF sur les rapports LSF (loi de securite 
financiere) note que seulement 43 % des rapports 2006 mentionnent l’existence 
d’une cartographic des risques. 

La loi du 3 juillet 2008 rend la communication de cette cartographic obligatoire. 

La transposition de la 8 e directive europeenne en droit interne fran«;ais 
(decembre 2008) 

La 8 e directive europeenne sur l’audit legal, emise le 17 mai 2006, dont la transposi- 
tion initiale en droit interne francais etait prevue le 29 juin 2008, a ete integree au 
final en decembre 2008. 

Elle rend obbgatoire la mise en place d’un comite d’audit pour les entites d’interet 
pubbc en charge du suivi de l’efficacite des systemes de controle interne, d’audit 
interne et de gestion des risques de la societe. 

Meme si la 8 e directive europeenne prevoit expbcitement d’evaluer l’efficacite du 
dispositif de controle interne et de management des risques, elle ne se prononce pas 
a ce jour sur une communication externe officielle portant sur les resultats du suivi 
de l’efficacite des dispositifs de controle interne et de management des risques. 


La reglementation concernant les risques hautement proteges 

Les autorites de tutelle et les gouvernements ont pris conscience depuis plus d’une 
decennie de la necessite de mettre sous controle les risques d’atteinte a l’environ- 
nement, tant du point de vue ecologique que du point de vue de la protection de la 
remuneration de l’actionnaire et de l’atteinte des objectifs strategiques en cas de 
sinistre majeur. 

Risques hautement proteges et Seveso II 

* La directive Seveso II vise les etablissements potentiellement dangereux (chimie, 
petrole, siderurgie, etc.) au travers d’une bste d’activites et de substances associees a 
0 des seuils de classement. Elle definit deux categories d’entreprises en fonction de la 
J quantite de substances dangereuses presentes. 
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Les entreprises mettant en oeuvre les plus grandes quantites de substances dangereuses, 
dites « Seveso II seuils hauts », font l’objet d’une attention particuliere de l’Etat : 

• les dangers doivent etre clairement identifies (y compris les effets domino) et l’ana- 
lyse des risques doit etre realisee ; 

• leur exploitant doit definir une politique de prevention des accidents majeurs et 
mettre en place un systeme de gestion de la securite pour son application ; 

• des mesures techniques de prevention, elaborees par les inspecteurs des installa- 
tions classees sur la base d’etudes de dangers, leur sont imposees par arretes prefec- 
toraux dans le cadre d’une procedure d’autorisation ; 

• un programme d’inspection est planifie par l’inspection des installations classees ; 

• des plans d’urgence sont elabores pour faire face a un accident : POI (plan d’ ope- 
ration interne) mis en oeuvre par les exploitants, et PPI (plan particulier d’inter- 
vention) mis en oeuvre par le prefet en cas d’accident debordant les limites de 
l’etablissement ; 

• une information preventive des populations concemees doit etre organisee ; 

• enfm, a l’interieur des zones de risques definies par l’Etat, les communes sont tenues 
de prendre en compte l’existence de ces risques pour leur urbanisation future. 

Les entreprises dites « Seveso II seuils bas » ont des contraintes moindres, mais doivent 
elaborer une politique de prevention des accidents majeurs. La conformite avec un tel 
dispositif presuppose la construction, a titre preventif, d’outils de gestion de crise envi- 
ronnementale (plan d’urgence ; communication de crise, cellule de crise et plan de 
reprise d’activite des processus critiques suite a atteinte a l’environnement). 

Loi NRE et mise sous controle des risques environ nementaux 

Publiee au Journal officiel le 15 mai 2001, la loi sur les nouvelles regulations 
economiques, appelee plus communement « loi NRE », a pour objectif de reduire 
les effets nefastes des dysfonctionnements internes et de la mondialisation. 

Fondee sur une exigence de transparence de l’information, cette loi instaure que les 
societes francaises cotees devront presenter, dans le rapport de gestion annuel, paral- 
lelement a leurs informations comptables et financieres, des donnees sur les conse- 
quences environnementales et sociales de leurs activites. 

La loi NRE est entree en vigueur par un decret en date du 20 fevrier 2002 et 
s’ applique a partir du l er janvier 2003, depuis les exercices ouverts a partir du 
l er janvier 2002. 

Les principals limites de la loi NRE 

Elies concement : 

• l’absence de sanctions ; 

• le manque de dispositifs de controle ; 

• l’absence de definition precise concernant le perimetre conceme (holding ou 
groupe, mondial ou national) . 
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La recommandation du Conseil national de la comptabilite (CNC) 
fran^ais en termes de comptabilite environnementale 

Publiee le 21 octobre 2003, cette recommandation vise a prendre en consideration 
les aspects environnementaux dans les comptes individuels et consolides des entre- 
prises. II s’agit pour les entreprises d’afficher dans leurs etats financiers les depenses 
supplementaires engagees pour reparer ou prevenir les dommages causes a l'envi- 
ronnement. 

Le texte vote par l'assemblee pleniere du CNC a ete bien accueilli par l’AMF. Le 
CNC a voulu traduire dans le droit interne une recommandation de la Commis- 
sion europeenne publiee au Journal offidel des Communautes europeennes le 
13 juin 2001. 

Le texte du CNC propose d'etablir un tableau des depenses environnementales 
tire du modele Eurostat (Office statistique des Communautes europeennes), en 
ventilant les depenses par types d'actions (traitement, elimination, mesure, recy- 
clage et prevention de dechets polluants) et par domaines (eaux, dechets, sols, 
bruit, rayonnement . . . ) . 


Referentiels comptables IFRS et US GAAP 

Les referentiels comptables d’origine anglo-saxonne ont toujours fait ressortir, via le 
format des etats financiers, l’importance donnee a la dimension corporate risk mana- 
gement en tant qu’attribution majeure du top management. Ainsi, les referentiels US 
GAAP et IFRS ont historiquement fait ressortir trois concepts significatifs en termes 
de structuration du compte de resultat : 

• la notion de resultat operationnel (IFRS), equivalant a l’EBIT (Earnings Before 
Interest and Taxes) americain, correspondant au resultat genere par les processus 
metier dans une optique de continuite de l’exploitation ; 

• la notion d’elements inhabituels ( exceptional items), integrant a la fois les choix de 
restructuration decides par le top management dans l’interet de la protection de la 
remuneration de l’actionnaire, et le cout des sinistres anticipables que les dirigeants 
sont censes anticiper ; 

• le concept d’elements extraordinaires ( extraordinary items), correspondant a des 
situations de crise impossibles a anticiper par les dirigeants de l’entreprise (du type 
tremblement de terre dans une zone non sismique) donnant lieu a une indemnisa- 
tion assurance. 

La notion d’elements extraordinaires a aujourd’hui disparu, mettant en exergue le 
fait que ces referentiels comptables considerent que le risk management est une attri- 
bution majeure du top management, et que l’incapacite de proteger la remuneration 
de l’actionnaire et de proteger les cash-flows de l’entreprise releve d’une insuffisance 
substantielle du top management. 

De surcroit, le referentiel IFRS fait ressortir la notion de composantes (inexistante 
en US GAAP) ayant pour effet de minimiser la notion de provisions pour risques. 
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En effet, la norme IAS 16 impose la decomposition des immobilisations corporelles 
en composantes impactant les flux de tresorerie previsionnelle generes par l’actif. 
Ainsi, les groupes industriels constituent des composantes telles que : 

• investissements de securite ; 

• pieces de rechange ; 

• demantelement ; 

• decontamination des sols ; 

• fermeture quinquennale pour grand entretien. 

Elies sont amorties sur la duree d’usage de chaque composante. 

La notion de composante met en exergue le principe de mise sous controle previ- 
sionnelle des risques industriels. Ainsi : 

• la programmation des investissements de securite a pour objectif de proteger les 
cash-flows generes par l’actif ; 

• la budgetisation des pieces de rechange a pour finalite de prevenir le bris de 
machine. 

La comptabilite financiere IFRS demontre ainsi que tous les actifs de l’entreprise 
sont mis sous controle en vue de securiser les cash-flows de cette demiere. 
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Chapitre 2 

Methodologie d'identification 
et d'analyse des risques 

L’identification rationnelle et objective des risques de sinistralite est basee sur la 
reponse a quatre types d’interrogations : 

• Quels sont les outils permettant une identification objective des risques ? 

• Comment evaluer l’impact d’un sinistre majeur sur les objectifs strategiques ? 

• Comment evaluer les consequences financieres d’un sinistre majeur ? 

• Quels enseignements tirer de revolution de la sinistralite anterieure ? 


Outils d'identification des risques 

L’une des principals difficultes du risk management est d’identifier les risques d’un 
groupe de fafon objective et rationnelle. II est indispensable d’aboutir a la realisa- 
tion d’une cartographic des risques faisant ressortir en priorite les meta-risques 
emergents. 

Le risk manager n’a pas le droit de fonder sa cartographic sur un ressenti subjectif 
base sur sa personnalite et son vecu professionnel. II doit au contraire appuyer sa 
demarche sur plusieurs outils d’identification des risques qu’il va utiliser dans une 
optique de circularisation (la reponse apportee par ces outils doit en effet converger). 
Nous etudierons done dans ce chapitre les outils suivants : 

• l’audit documentaire ; 

• les entretiens ; 

• les visites de sites ; 

• les questionnaires. 

Audit documentaire et audit en risk management 

L’audit documentaire est un outil essentiel en vue d’une identification rationnelle et 
objective des risques. 

Dans la phase amont, l’auditeur va demander un certain nombre de documents, 
qu’il exploitera partiellement avant d’aller sur le terrain (phase de « travail a plat »). 
Pendant la phase de deroulement de 1’ audit, l’auditeur va confronter ses sources 
documentaires avec les informations collectees via les interviews et la visite de sites. 
En phase post-mission (redaction du rapport), le risk manager preconisera ; compte 
tenu de ses conclusions, un certain nombre d’ajustements concemant les informa- 
tions qu’il a collectees en phase initiale (modifications de clauses contractuelles, 
renegociation des clauses assurance, consultation du marche assurance, etc.). 


20 Partie 1 - Contraintes reglementaires et methodologie 


Exemple de cartographies de meta-risques dans un groupeindustriel 
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Exemple de cartographie des meta-risques 


Audit documentaire pre-mission 

Dans la phase documentaire pre-mission, le risk manager va demander a l’entite 
auditee de lui transmettre un certain nombre de documents. La liste des documents 
a transmettre depend de fait du type de risque a auditer. 

Cependant, il s’avere possible de bster de facon generique les principaux documents 
demandes : 

• programme d’assurance national ou international ; 

• transmission des clauses des principaux contrats ; 

• etats analytiques et tableaux de bord ; 

• etats financiers certifies ; 

• experts techniques et expertises prealables de capitaux ; 

• procedures de securite et de gestion de crise (si existantes) ; 

• tests des plans de reprise d’activite ; 

• schema directeur des systemes d’information ; 

• plan de protection des informations. 

Une fois ces documents collectes (dans les faits, le risk manager ne collecte qu’une 
partie des informations en pre-mission), il s’assure de la fiabilite des informations 
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transmises en utilisant les techniques de circularisation (demande d’information 
parallele a l’exteme, verification de la certification des comptes, verification de la 
non-retroactivite des contrats, etc.). 

Enfin, il commence a analyser les documents qui sont directement exploitables 
(analyse des clauses de contrats, analyse financiere, etc.). 

Audit documentaire pendant la mission 

L’objectif du deroulement de la mission sur le terrain est de confronter l’identifica- 
tion des risques identifies en phase post-mission d’audit avec les risques reellement 
traces via interviews et/ou questionnaires et visites de sites. 

Exploitation documentaire post-mission 

L’ exploitation documentaire post-mission va se traduire par des preconisations subs- 
tantielles faites par le risk manager. Ainsi, les principales preconisations possibles sont 
les suivantes : 

• souscription d’une nouvelle police d’assurance ; 

• modification de clauses contractuelles ; 

• signatures de contrats de back-up 1 ; 

• redaction de nouvelles procedures ; 

• modification du contenu des procedures existantes. 

Entretiens 

La technique d’entretien s’avere etre une technique essentielle a ridentification 
objective et rationnelle des risques, et ce, tout particulierement en culture d’entre- 
prise latine. 

L’objectif de cet entretien est : d’une part, de s’ assurer de la connaissance par les 
operationnels des dispositifs de risk management mis en oeuvre par l’entreprise ; 
d’autre part, d’evaluer avec eux les risques potentiels qui pourraient affecter les 
processus metiers et les risques du groupe. 

L’interview se deroule en trois grandes etapes. 

Analyse du passe 

Le risk manager interviewe l’audite sur les cas de sinistres ou de gestion de crise qu’il 
a ete amene a vivre dans le passe en adoptant un questionnement du type : 

« Avez-vous ete amene a vivre dans le passe une situation de crise ? Si oui, quels 
sont, de votre point de vue, les dispositifs mis effectivement en oeuvre par le groupe 
pour gerer cette situation ? » 

L’objectif de cette question est de savoir si les dispositifs mis en oeuvre par le groupe 
sont connus et effectivement communiques aux operationnels. 


1. Back-up : mise a disposition de ressources logistiques en cas de sinistre. 
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Projection sur le futur 

L’objectif de cette partie de l’entretien consiste a identifier les risques potentiels que les 
operationnels ont identifies et qui n’ont pas ete reportes au niveau du risk management. 
La structure de questionnement est la suivante : « Avez-vous identifie ou pense a des 
risques qui pourraient se materialiser ? Etes-vous deja passe sur le “fil du rasoir” ? De 
votre point de vue, si le risque se materialisait, le groupe saurait-il mettre en oeuvre 
les dispositifs adequats ? » 

L’objectif de cette question est d’aller verifier sur le terrain si le ressenti de l’opera- 
tionnel est confirme ou non. Cette logique de questionnement peut permettre une 
priorisation de mesures correctrices a mettre en oeuvre. 

Simulation d'une situation de crise 

L’objectif de cette demiere etape de l’interview consiste a construire avec l’audite le 
contenu operationnel de son plan de reprise d’activite en cas de situation de crise. 

La structure de simulation a adopter est la suivante : 

« Vous arrivez sur votre lieu de travail a 7 h 45. Sur place votre siege social est 
detruit a 100 %. Le prefet, les medias, les salaries, la protection civile, les pompiers 
sont presents. Les camions arrivent avec les composantes. Que faites-vous ? » 
L’objectif de cette simulation est de decrire les moyens logistiques qui devront etre 
mis en oeuvre en cas de situation de crise en vue d’assurer la continuite de l’exploita- 
tion des processus critiques. 

L’exercice a pour objectif de decrire et d’identifier : 

• les processus critiques qui devront etre redeployes en cas de situation de crise ; 

• les actifs strategiques (machines-outils, moules, etc.) qui devront etre proteges en 
priorite en cas de sinistre ; 

• les hommes cles qui devront etre deplaces sur le site de secours ; 

• les ressources non utilisees avant sinistre (m 2 , m 3 , vehicules disponibles, etc.) ; 

• les contrats de back-up avec les sous-traitants, fournisseurs, constructeurs informa- 
tiques, etc. 

Visites de site 

La visite de site est un outil essentiel en termes d’identification des risques. Elle 
permet par exemple d’observer les attitudes et les comportements des salaries en 
matiere de respect des consignes de securite. Elle permet, d’autre part, a l’auditeur 
d’observer des dysfonctionnements ou des anomalies concernant l’organisation de 
l’entreprise pouvant generer des dommages potentiels. 

Elle permet aussi de reactualiser des elements lies a 1’ audit documentaire (exemple 
d’un plan de masse ne correspondant plus a la configuration reelle actuelle du site). 

Questionnaires 

L’ identification des risques a partir des questionnaires est tres utilisee dans les organi- 
sations anglo-saxonnes et presuppose 1’ existence d’un dispositif de risk management 
mur et efficace. 
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Le questionnement permet de realiser des benchmarks intersites et intragroupe, et de 
produire a ce titre des rosaces de performance permettant d’identifier les centres de 
risque 1 n’appliquant pas a la lettre les procedures de securite et de gestion de crise. 

Ce dispositif est inadapte dans le cas de la construction d’un dispositif de risk mana- 
gement et, dans cette hypothese, on privilegiera les techniques d’interviews. 


Simulation de I'impact d'un sinistre majeur sur les objectifs 
strategiques 

L’objectif de cette etape est de simuler I’impact d’un sinistre maximum possible (c’est-a- 
dire d’un sinistre etant la resultante de plusieurs faits generateurs, majore par des circons- 
tances aggravantes) sur les processus et/ou les objectifs strategiques de l’entreprise. 

Ainsi, par exemple, le retrait d’un produit du marche (du fait de dommages corpo- 
rels subis par un consommateur) affecterait : 

• les parts de marche ; 

• la rentabilite commerciale ; 

• le cours de faction (si le groupe est cote) ; 

• la continuite des processus (obligation d’arreter la production du produit incrimine). 



* Impact d’un sinistre majeur sur les objectifs strategiques d’un groupe 

J- 

^ L’objectif du risk management consiste done a tout mettre en oeuvre a titre preventif 
J pour prevenir le risque ; mais, ce dernier avere, le groupe doit mettre en place un 


1 . Entite organisationndle (usine, magasin) regroupant des risques homogenes. 
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dispositif de gestion de crise auquel il a reflechi a titre preventif, et gerer la situation 
de crise dans un delai tres rapide. Dans notre exemple, les outils de gestion de crise 
mis en oeuvre seraient les suivants : 

• cellule de crise ; 

• communication de crise vis-a-vis des consommateurs et du reseau ; 

• plan de retrait des produits du marche avec mise en oeuvre d’un processus 
d’indemnisation du consommateur ; ou fabrication d’un produit de substitution. 

Ces procedures de gestion de crise ont bien sur un caractere confidentiel, a l’excep- 
tion du plan d’urgence, qui doit etre communique aux autorites de tutelle, pour les 
risques RHP (risques hautement proteges) susceptibles de generer une atteinte a 
1’ environnement. 


Simulation des consequences financiers d'un sinistre majeur 

L’objectif assigne a cette etape est d’identifier les scenarii de crise qui pourraient 
affecter la remise en cause de la perennite du groupe. La quantification des sinistres 
majeurs a pour interet de permettre l’identification des scenarii inacceptables en vue 
de definir des priorites dans le dispositif de risk management. 

II s’agit done de quantifier pour chaque scenario de crise (sont analyses en priorite 
les scenarii correspondant aux faits generateurs figurant en exclusion) les conse- 
quences financieres d’un sinistre maximum possible en chifirant les quatre compo- 
santes suivantes : 

• pertes materielles (en quoi le sinistre affecte-t-il les actifs de l’entreprise ?) ; 

• pertes Sexploitation (en quoi la situation de crise affecte-t-elle le compte de resultat ?) ; 

• pertes humaines (en quoi le sinistre genere-t-il des dommages corporels chez les salaries ?) ; 

• cout de la responsabilite civile et eventuellement penale (quelle sera la valorisation 
de prejudices corporels, materiels et immateriels causes aux tiers ?). 

Estimation des pertes materielles 

L’objectif de cette premiere simulation est d’estimer l’impact d’un sinistre majeur 
sur les immobilisations sous controle (au sens des normes IAS 16 et 17 pour 
lesquelles l’entreprise porte l’ensemble des risques et des responsabilites, quelle que 
soit leur qualification juridique) et sur les stocks. 

Deux cas de figure se presentent dans le cadre de cette estimation : 

• soit l’entreprise est dans un referentiel comptable autre qu’IFRS (International 
Financial Reporting Standard) et, dans ce cas de figure, elle doit faire realiser une 
expertise prealable de capitaux des biens en propriete, en location, en location finan- 
cement, mais aussi des biens confies ou des actifs qu’on lui a transferes dans le cadre 
d’un contrat de concession ou d’affermage ; 

• soit l’entreprise est en IFRS (International Financial Reporting Standard) et a opte 
pour la reevaluation des actifs et, dans ce cas, la valorisation des actifs au prix du 
marche sert de base a l’estimation des pertes materielles. 
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Dans les deux cas de figure, l’estimation des pertes materielles se fait en multipliant la 
valeur des capitaux par une estimation du pourcentage de destruction de l’actif. 

Estimation des pertes d'exploitation 

L’estimation des pertes d’ exploitation est realisee par centre de risque (ce qui corres- 
pond en controle de gestion a une entite organisationnelle du type « centre de 
profit » ou « centre de responsabilite ») . 

La methodologie consiste dans un premier temps a construire un compte de resultat 
du centre de risque avant sinistre. L’objectif a ce niveau est de segmenter le compte 
de resultat en quatre grandes masses : 

• chiffre d’affaires ou prix de transfert 1 ; 

• charges variables qui seront sensibles a l’impact du sinistre ; 

• charges fixes que l’entreprise continuera a supporter post-sinistre ; 

• resultat analytique du centre de risque avant sinistre (difference entre produits et 
charges operationnelles) . 

Dans un deuxieme temps, a structurer un compte de resultat de l’entite post-sinistre : 

• estimation du chiffre d’affaires ou des prix de cession post-sinistre (impact du sinis- 
tre sur le CA dependant de l’existence d’un plan de reprise d’activite ou non, teste 
de surcroit regulierement) ; 

• estimation de l’impact du sinistre sur les charges variables (dont les achats) ; 

• estimation du sinistre sur les nouveaux couts generes par la situation de crise (frais 
supplementaires d’ exploitation, frais d’expertise, honoraires, frais de demolition, 
frais de decontamination, etc.). 

Le resultat analytique post-sinistre est done egal a la difference entre le CA et les 
charges operationnelles post-sinistre (charges variables apres sinistre, maintien des 
frais fixes supportes avant sinistre, nouveaux frais directement imputables a la situa- 
tion de crise et necessaires au redeploiement de l’activite). 

La perte d’ exploitation sera egale a la difference entre le resultat operationnel du 
centre de risque avant sinistre (base sur les previsions budgetaires de l’exercice) et 
1’ estimation du resultat analytique du meme centre de risque post-sinistre. 

Quantification des pertes humaines 

La quantification des pertes humaines (e’est-a-dire des dommages affectant les sala- 
ries de l’entreprise : deces, accidents de travail, invalidite, etc.) se decompose en : 

• indemnisation de type Securite sociale ; 

=| • indemnisation via la souscription d’une police d’ assurance collective pour le 

^ compte des salaries (en integrant les capitaux maximaux prevus dans la police 
J d’ assurance). 


1 . Echanges economiques internes au groupe. 
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Valorisation du coOt de la responsabilite civile et penale 

La quantification du cout de la remise en cause de la responsabilite civile passe par 
l’analyse de la jurisprudence existante au niveau international. 

Dans l’hypothese de l’inexistence d’une telle jurisprudence, l’auditeur appliquera une 
demarche qualitative en construisant une grille qualitative graduee de la facon suivante : 

• 0 : impact nul ; 

• 1 : impact faible ; 

• 2 : impact financier moyen ; 

• 3 : impact financier majeur ; 

• 4 : impact financier inacceptable. 

L’ estimation du cout de la responsabilite penale passe par une analyse des differentes 
penalties par type d’infraction. 

Quantification du cout residuel a la charge de I'entreprise 

L’objectif de cette etape du dispositif consiste a sornmer par scenario le cout des quatre 
typologies de pertes : materielles, exploitation, humaines et responsabilite civile (RC) ; 
et a le comparer au montant indemnisable prevu dans le programme d’ assurance. La 
difference entre ces deux montants correspond au risque residuel, qui peut etre consi- 
dere par les autorites de gouvernance comme etant acceptable ou inacceptable. 

Dans l’hypothese ou le comite des risques esttine que le risque residuel est inacceptable, 
il s’avere indispensable de reflechir sur la mise en oeuvre de financements alternatifs, 
n’afFectant pas la tresorerie courante de I’entreprise en cas de realisation du risque. 


Etude de la sinistralite anterieure 

L’ etude de la sinistralite anterieure (sur des series chronologiques consecutives a 
minima de cinq ans) vise a : 

• identifier d’eventuelles tendances structurelles en termes de sinistralite (concentra- 
tion d’accidents du travail par exemple) ; 

• permettre une renegociation ulterieure avec les assureurs (en comparant la sinistra- 
lite effective avec celle prise en compte par les assureurs). 

Les principaux sinistres analyses, tant en frequence qu’en termes de gravite, sont les 
suivants : 

• sinistralite dommages aux biens ; 

• sinistralite flotte automobile ; 

• sinistralite informatique ; 

• sinistralite responsabilite civile ; 

• sinistralite accidents du travail. 
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Chapitre 3 

Modalites de mise sous controle des risques 

La methodologie d’audit en risk management est une approche transverse visant a 
s’ assurer de la mise sous controle des risques de sinistralite de l’entreprise, tant a titre 
preventif que curatif, en declinant un triple dispositif : 

• controle interne des risques et procedures de gestion de crise ; 

• controle technique et investissements de securite ; 

• controle financier des risques integrant l’autofinancement, le transfert des risques 
et le recours aux financements alternatifs a l’assurance. 


Controle technique et securite 

La mise en oeuvre d’un dispositif de prevention mature passe par la realisation 
d’investissements de securite et par 1’ engagement de charges d’ exploitation au titre 
de la securite correspondant a minima aux exigences reglementaires. 

Les principaux sous-domaines concemes sont les suivants : 

• securite informatique ; 

• securite des biens ; 

• securite des personnes ; 

• securite atteinte a l’environnement. 


Procedures de securite et de gestion de crise 

La mise en oeuvre d’un dispositif de corporate risk management efficace passe par la 
redaction de procedures de securite de base et de gestion de crise. 

Bien evidemment l’efficacite de telles procedures doit etre regulierement testee. 

Procedures de securite de base 

La mise en oeuvre d’un dispositif de corporate risk management mature passe par la 
redaction et l’application de procedures de type « management des risques » telles que : 

• procedures de securite informatique physiques et immaterielles et plan de protec- 
tion des informations ; 

• procedures de securite environnementale ; 

• plan d’organisation des secours. 

Les principaux scenarii de gestion de crise 

La construction des scenarii de crise a pour objectif d’anticiper la combinaison opti- 
male d’outils de gestion de crise a mettre en oeuvre en cas de sinistre majeur. 
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Les principaux scenarii analyses sont les suivants : 

• gestion de crise produit avec retrait des produits du marche ; 

• atteinte a l’environnement ; 

• mise en examen d’un mandataire social ; 

• offre publique d’ achat hostile ; 

• attentat ; 

• greve interne ou exteme, voire melange des deux typologies (grande specialite 
franchise !) ; 

• boycott de la marque ; 

• situation de crise informatique ; 

• mort d’un homme cle. 

II est evident que cette liste doit etre adaptee en fonction du secteur d’activite, ainsi : 

• dans le secteur bancaire, on simulera l’impact du scenario hold-up ; 

• dans le secteur aeronautique, on evaluera les consequences du crash d’un avion ; 

• dans le secteur aeronautique, on estimera les consequences de 1’ explosion d’une 
fusee ou d’une navette embarquant des satellites. 

Procedures de gestion de crise 

Les procedures de gestion, systematiquement redigees a titre preventif, et testees en 
vue d’evaluer leur efficacite, ont pour objectif de permettre la continuite de 
l’exploitation des processus critiques d’un centre de risque (exemple d’une usine), 
dans des delais tres rapides sur d’autres sites internes au groupe ou a l’exterieur du 
groupe via des contrats de back-up signes avec des constructeurs informatiques, 
fournisseurs et sous-traitants captifs, et eventuellement avec des concurrents. 

Le risk manager doit done reflechir a titre preventif a la construction de ces cinq 
outils de gestion de crise, qui seront combines en fonction du scenario de crise 
analyse, a savoir : 

• le plan de retrait des produits du marche ; 

• la communication de crise interne et/ou exteme pouvant etre offensive ou defensive ; 

• le plan de reprise d’activite ; 

• le plan d’urgence concemant les risques d’atteinte a l’environnement ; 

• la cellule de crise concue tant en termes organisationnels que logistiques. 

Plan de retrait des produits 

La reflexion preventive concernant l’organisation d’un plan de retrait des produits 
du marche concerne en priorite les entreprises ayant une strategic marketing de 
biens de grande consommation et tout specifiquement celles travaillant dans les 
secteurs pharmaceutique, agroalimentaire, automobile. 
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L’ organisation logistique d’un plan de retrait prevoit un simple arret de production 
et de commercialisation a titre preventif dans le cas de remission de signaux de prea- 
lerte (taux de reclamations clients anormal, taux de rebut, de refaconnage eleve, etc., 
sur un produit ou une famille de produits) . 

Communication de crise 

II existe de nombreux registres de communication de crise, sur lesquels les groupes 
doivent reflechir a titre preventif, soit en vue d’exonerer la responsabilite civile, soit 
de limiter l’impact de cette demiere au cas ou elle serait mise en cause. 

II est ainsi possible d’opposer les axes de communication ci-dessous : 

• interne et exteme ; 

• offensive et defensive ; 

• reglementaire et strategique. 

Communication de crise interne et externe 

La communication de crise externe est en general indissociable de la communication 
de crise interne. 

En effet, la communication de crise exteme, qu’elle soit institutionnelle ou opera- 
tionnelle, vise a securiser 1’ ensemble des parties prenantes, pour proteger les objectifs 
strategiques du groupe. A contrario, la communication de crise interne vise surtout a 
permettre le deployment des processus critiques sur des sites non sinistres dans des 
delais tres rapides si une situation de crise est declenchee. 

Communication de crise offensive et defensive 

Les registres de communication de crise peuvent etre offensifs en cas de rumeur ou 
en cas de remise en cause non fondee de la responsabilite civile du groupe. Ainsi, il 
est envisageable, dans le cas d’un scenario de crise produit, de developper une 
communication de crise offensive, dans l’hypothese d’une relation de correlation 
(existence d’un dommage corporel chez un consommateur, ne pouvant etre associe 
a une marque commerciale specifique de l’entreprise). 

Par contre, en cas de remise en cause de la responsabilite civile du groupe, la 
communication de crise institutionnelle defensive a pour objectif de proteger les 
parts de marche, l’image de marque, alors que la communication de crise operation- 
nelle decrit au reseau de distribution ainsi qu’aux clients les modalites d’action 
(comment se faire indemniser, comment faire reparer le produit, comment avoir un 
produit de substitution... ?). 

Plan de reprise d'activite/plan de continuite de Sexploitation 

Le risk management minimise le role de l’assurance en cas de sinistre majeur. Son 
objectif n’est pas de rechercher des garanties confortables en cas de situation de crise, 
mais de permettre une reprise de l’activite dans les delais les plus rapides. Voici la 
methodologie de construction de ces plans de reprise d’activite. 

Concepts generaux sur les plans de continuite de I'exploitation 

La continuite d’activite s’inscrit dans une demarche de perennite de l’entreprise. Elle 
consiste a mettre en place des procedures et des moyens visant a assurer le fonctionnement 
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de ses activites, prindpales et cruciales, et la disponibilite des ressources indispensables au 
deroulement de ces activites. 

La gestion de la continuite d’activite est une approche globale de management. Son 
objectif est d’identifier les impacts potentiels qui menacent le groupe et de la doter 
des capacites de repondre efficacement a des sinistres potentiels en sauvegardant ses 
activites vitales et critiques, sa reputation et les interets de ses clients et partenaires. 

Definition de la notion d'activite vitale 

C’est une activite dont 1’ execution est fondamentale et obligatoire pour l’entreprise. En 
cas d’ arret de cette activite, les impacts sont juges inacceptables par le management : 

• impact financier extremement lourd pour l’entreprise ; 

• tres forte degradation de son image de marque aupres des clients et des partenaires ; 

• impact reglementaire majeur sans possibilite de negociation avec les institutions 
legales. 

Definition de la notion d'activite critique 

II s’agit d’une activite dont 1’ execution est souhaitee pour le groupe, mais qui ne 
revet pas de caractere obligatoire. Les impacts, en cas d’arret de ces activites, sont 
juges tres preoccupants voire inacceptables pour la strategic de l’entreprise, mais ne 
compromettent pas sa survie en cas de crise : 

• impact financier lourd pour l’entreprise ; 

• impact strategique majeur ; 

• tres forte degradation de son image de marque aupres des salaries et des medias ; 

• impact reglementaire majeur avec possibilite de negociation avec les institutions 
gouvernementales . 

Definition de la notion d'activite sensible 

Par activite sensible, il faut entendre une activite dont l’execution est preferable pour 
le bon deroulement des operations. Les impacts, en cas d’arret de ces activites, sont 
juges preoccupants, mais potentiellement acceptables dans un contexte de crise : 

• impact financier moyen pour l’entreprise ; 

• impact strategique nul ; 

• degradation significative de son image de marque aupres des salaries et des medias. 

Le cycle de vie de la continuite d'activite 
Processus cyclique 

La demarche « continuite d’activite » est un processus cyclique a travers lequel le 
groupe : 

• evalue la solidite de son organisation et la vulnerabilite de ses activites a des 
sinistres majeurs ; 

• definit la strategic de continuite de ses activites critiques apres sinistre ; 

• met en place les solutions de continuite pertinentes et les documente ; 
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• teste ses dispositifs, les maintient operationnels et les revise a frequence reguliere ; 

• informe ses personnels et les exerce a utiliser les solutions de continuite en cas de 
sinistre. 

Deux prerequis sont indispensables pour engager la demarche « continuite 
d’activite » : 

• une strategic d’entreprise clairement definie ; 

• un risk assessment solide et exhaustif. 

Les principaux resultats attendus (livrables) 

Ce sont : 

• une cartographic des risques ; 

• un business impact analysis, une collecte des expressions de besoins des metiers, met- 
tant en evidence les activites critiques ; 

• une strategic de continuite d’activite declinee en fonction de differents scenarii de 
sinistres, et adressant les objectifs metiers, les priorites et les niveaux d’activite a 
recouvrir apres un sinistre ; 

• un inventaire des ressources critiques et le sequencement de leur montee en charge ; 

• des plans de continuite d’activite decrivant les dispositifs mis en place et les proce- 
dures pour mettre en oeuvre la strategic ; 

• des programmes de tests et des plans d’ action correctifs ; 

• des supports d’information, de sensibilisation et de formation. 

Mettre en oeuvre un plan de continuite d'activite 

Le business impact analysis (BIA) est une demarche analytique dont l’objectif consiste a : 

• identifier les activites vitales/critiques ; 

• inventorier les ressources critiques necessaires pour assurer la continuite de ces 
activites vitales/critiques ; 

• definir les priorites de continuite et/ou de reprise apres sinistre. 

Pourquoi le fait-on ? Le BIA permet d’evaluer les impacts, pour l’entreprise, d’un sinistre 
touchant ses activites. La demarche doit etre entreprise pour chacun des processus 
metiers conduits dans le groupe, identifies dans la phase de cartographic des processus. 
Les consequences d’un sinistre sur les activites du groupe sont evaluees dans le temps 
selon differents types d’impacts : 

• impacts financiers (evaluation quantitative) ; 

• impacts non financiers (evaluation qualitative). 

Bien que les sinistres auxquels la societe doit se preparer soient de natures differentes et 
puissent influencer la gravite et/ou la rapidite d’apparition/de resorption des impacts, 
les bonnes pratiques recommandent de mener le BIA en adoptant certains postulats : 

• toutes les activites sont interrompues sans possibilite de reprise ; 

• l’entreprise seule est impactee par le sinistre ; 

• tous les acteurs du marche continuent « business as usual ». 
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La demarche BIA est conduite par les coordinateurs des plans de continuite d’acti- 
vite (PCA) sur la base d’interviews realisees avec les proprietaries des processus 
metiers. Les informations collectees ainsi que les analyses d’impacts sont systemati- 
quement validees par le management, qui est responsable de l’expression des 
besoins, de la definition des strategies, de l’allocation des moyens humains et finan- 
ciers necessaries a la demarche et qui est proprietaire des plans de continuite. 

La demarche BIA 

Elle se deroule en etapes distinctes. 

Etape 1 : cartographie des processus metiers 

La comprehension de l’organisation commence necessairement par une cartographie 
decrivant les activites de chacune des entries du groupe : 

• identifier les principaux processus metiers ; 

• inventorier les ressources requises pour mener a bien chacun de ces processus. 
Cette cartographie est le prealable indispensable au deployment de la demarche BIA 
et plus generalement de la demarche de continuite d’activite : 1’ analyse d’impact, la 
definition des objectifs de reprise et les expressions de besoin en termes de ressources 
sont construites au niveau de chaque processus metier. 

A noter que, s’il existe deja des descriptions de processus dans 1’ organisation, elles 
doivent etre systematiquement reutilisees dans un souci de coherence et d’efficacite. 
La cartographie doit aussi mettre en lumiere les periodes critiques de chaque 
processus, c’est-a-dire les periodes durant lesquelles un sinistre aurait les impacts les 
plus penalisants pour l’entreprise (« scenario du pire »). 

La definition des periodes critiques permet : 

• de definir les strategies de reprise en integrant le scenario dans lequel un sinistre 
aurait lieu aux moments les plus critiques du processus ; 

• d’informer, le cas echeant, les gestionnaires de crise des circonstances particulieres 
liees a la periode de declenchement du sinistre. 

Exemples de periodes critiques : arretes comptables, cut-off, echeances a terme, etc. 
Pour les besoins de cette cartographie, des ressources critiques doivent etre identi- 
fiees. Les ressources critiques a identifier sont les ressources indispensables a l’accom- 
plissement d’un processus metier qui doivent necessairement etre restaurees pour 
garantir la continuite des activites critiques suite a un sinistre. 

On peut ainsi citer : 

• besoins en personnel : nombre de personnes allouees au processus metier en production ; 

• systemes informatiques : 

- applications metiers, 

- progiciels integres, 

- disques partages ; 

• poste de travail : type de configuration requise (nombre et puissance des PC, 
nombre d’ecrans, telephonie normale ou specialisee, etc.) ; 
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• telecoms : inventaire des moyens de communication necessaires en plus de la tele- 
phonic (fax, telex) ; 

• sauvegardes vitales : ensemble des documents sur tout support dont l’absence apres 
sinistre empecherait de reprendre le processus metier ; 

• dependances : ensemble des services, foumis par un acteur interne ou exteme, 
necessaires a l’accompbssement du processus metier (qui ? quoi ?). 

Etape 2 : 1' evaluation des impacts 

Typologies d'impacts 

• pertes financieres directes : c’est l’ensemble des pertes financieres supportees par 
l’entreprise resultant de son incapacite a gerer ses processus metier ; 

• pertes de revenus : impacts financiers dus a l’incapacite de l’entreprise de realiser 
de nouvelles transactions tant que ses processus metiers restent degrades (d’ou 
perte d’opportunites) ; 

• impacts reglementaires : risques de penalties de la part des regulateurs et des auto- 
rites de tutelle a l’encontre de la societe dans l’incapacite totale ou partielle de fane 
face a ses obbgations reglementaires ; 

• impacts legaux et juridiques : impacts potentiels ou pertes encourues a cause 
d’ actions en justice ou de poursuites de la part de cbents, suite a l’incapacite de 
l’entreprise a faire face a ses engagements contractuels ; 

• impacts sur l’image et la reputation : prejudices portes a la credibilite de l’entre- 
prise vis-a-vis de ses clients, des investisseurs, de ses actionnaires, des agences de 
rating ou des medias, conduisant a une perte substantielle d’opportunites a venir ; 

• impacts sur d’autres processus de l’entreprise : risques d’ extension d’impacts sur 
d’autres processus du groupe, lorsque des impacts directs ne peuvent pas etre mis 
directement en evidence. Ce type d’impacts est directement he aux interdepen- 
dances entre les differentes activites du groupe. 

La relation au temps 

Le critere de temps est une dimension cle dans 1’ evaluation des impacts, car il 

permet de concentrer les efforts sur les activites dont les delais de reprise sont les plus 

critiques. 

L’echelle de temps est construite selon : 

• les imperatifs de reprise definis par les regulateurs (en France et a l’intemational) ; 

• les bonnes pratiques de l’industrie ; 

• les delais contractuels de bascule des systemes d’information et de mise a disposi- 
tion des solutions de reph. 
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Chaque activite doit definir une echelle pertinente lui permettant de quantifier de 
maniere homogene et coherente ses pertes financieres potentielles. Ces quantifi- 
cations sont ensuite traduites en degres d’impacts en fonction de leur importance : 

• tres eleve ; 

• eleve ; 

• moyen ; 

• faible. 

II appartient au management de chaque entite de definir et valider cette echelle, car 
celle-ci sera utilisee pour definir les objectifs et arbitrer les priorites de reprise. Les 
impacts qui ne peuvent pas etre quantifies en termes financiers sont qualifies selon le 
meme type d’echelle. 

Etape 3 : determiner la strategie - definition des objectifs de reprise 

Une fois 1’ analyse d’impact realisee, le groupe est en mesure de definir pour chacun 
des processus metiers etudies : 

• la periode de temps maximale apres le sinistre, au cours de laquelle chacune des 
ressources necessaires a l’accompfissement d’un processus metier pour etre opera- 
tionnelle doit etre recouverte ( recovery time objectives [RTO]) ; 

• le niveau d’ activite qui doit etre repris pour chaque processus, ainsi que son evolu- 
tion dans le temps sur une periode d’un mois a compter de la survenance du sinistre. 

La definition des objectifs de reprise doit permettre de comprendre la strategie que 
les metiers souhaitent mettre en place pour assurer la continuite de leur activite avec 
un niveau acceptable de degradation suite a un sinistre. La strategie est ainsi 
formulee de maniere simple : en cas de sinistre et pour chaque metier, quelles capa- 
cites le groupe veut-il conserver ou recouvrer, et a quelles echeances ? 

Comme lors de l’analyse d’impact, la bonne pratique veut que la strategie et les 
objectifs de reprise soient definis au regard du scenario le plus impactant pour le 
processus metier considere (l’entreprise est la seule impactee, les autres acteurs du 
secteur operent normalement) . 

La definition des RTO repose obligatoirement sur la cartographie et l’analyse 
d’impact realisee avec le BIA : 

• impbcitement, le RTO indique le niveau d’impact que le metier accepte de sup- 
porter (le seuil de tolerance) ; 

• les periodes critiques identifies lors de la cartographie des processus sont prises en 
compte dans la definition de la strategie de reprise (objectifs et priorites en cas de 
sinistre survenant a la pire periode). 

Etape 4 : elaborer et mettre en place des solutions 

Les metiers ayant defini leur strategie de continuite d’ activite et formule leurs 
besoins en ressources critiques sont maintenant en mesure de : 

• consobder les besoins de secours appbcatifs en specifiant aux maitrises d’ouvrage 
informatique les besoins a couvrir en termes d’objectif de reprise et de restauration 
de donnees ; 
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• identifier les alternatives et mesures conservatoires a deployer pour couvrir la 
periode entre le sinistre et la reprise du processus metier impacte ; 

• concevoir les solutions de continuite adequates pour permettre aux personnels de 
redemarrer les processus metiers impactes par le sinistre et assurer la continuite des 
activites vitales et critiques de l’entreprise ; 

• organiser la coherence des strategies et des solutions deployees au sein de l’entreprise. 
La mise en place des solutions de continuite se deroule en trois etapes : 

• choix des solutions de continuite : 

— solutions de continuite informatique, 

— solutions de continuite « utilisateurs » pour redonner un poste de travail aux 
personnels impactes ; 

• mise en coherence des strategies et des solutions deployees au sein du groupe : 

— alignement sur l’integralite du deroulement du processus (front- to-end), 

— alignement transversal, 

— rationalisation des investissements, 

— mutualisation des moyens ; 

• mise en place des solutions et documentation des plans de continuite d’activite. 

Le management de chaque entite est proprietaire de son plan de continuite d’acti- 
vite et en valide chacune des etapes : 

• validation des expressions de besoin ; 

• validation des choix de solutions retenues ; 

• validation des alignements ; 

• validation des investissements a realiser ; 

• validation des solutions implementees (recettes) ; 

• validation de la documentation. 

La validation etape par etape permet de garantir que les solutions elaborees, mises en 
place et documentees, repondent aux besoins exprimes et sont conformes a la stra- 
tegic formulee. En cas de desaccord, on reprend la demarche a partir de la derniere 
etape validee (demarche iterative). 

Etape 5 : choix des solutions « utilisateurs » 

Positions sur site de repli (site interne ou sous contrat avec un prestataire) 

• Positions dediees : postes de travail entierement pre-equipes sur un site de secours 
utilisateurs, a distance raisonnable du site primaire pour permettre un repli rapide 
apres un sinistre. Ces positions sont, exclusivement et en permanence, reservees a 
l’usage du groupe en cas d’activation, et leur disponibilite est garantie. 

• Positions mutualisees : postes de travail entierement pre-equipes sur un site de 
secours utilisateurs, a distance raisonnable du site primaire pour permettre un repli 
rapide apres un sinistre. Les positions mutuahsees ne sont pas exclusives et sont 
contractees parallelement par plusieurs entreprises. 
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Secours croises 

• Cross back up : solution consistant a reloger un utilisateur ayant perdu l’accessibilite 
a son poste de travail sur un autre poste dans un autre immeuble de production 
non impacte. 

• Cross border : solution consistant a reloger le personnel sur une autre implantation 
du groupe a l’intemational. 

Remarque : ces solutions croisees supposent que des positions et equipements de 
production et/ou de reserve puissent etre liberes a la demande, ou et quand neces- 
saire. En outre, la solution a l’intemational n’est raisonnablement pas operationnelle 
avant J + 2 apres sinistre (evaluation empirique). 

Acces a distance 

Capacite de mener des activites depuis un site n’appartenant pas au groupe avec un 
acces a distance aux applications informatiques si necessaire (domicile, cybercafe, 
entreprise tierce. . .). 

Remarque : faeces a distance n’est pas la solution a privilegier pour certaines acti- 
vites critiques (trading, tresorerie, etc.), car elle suppose une qualite de controle et 
de securite degradee (acces via Internet). 

Split operations 

• Solution consistant a eclater temporairement les personnels critiques sur un plus 
grand nombre de sites (production, repli, acces a distance) en prevision d’un risque 
accru de perturbation des activites (exemple : manifestation type G8, convention 
republicaine a New York, etc.) ou pour repondre a une incapacite conjoncturelle de 
rejoindre le lieu de travail habituel (lors d’une greve des transports, par exemple). 

• Lorsque cet eclatement des competences n’est plus conjoncturel mais est intrin- 
seque par construction a la stmeture de la societe, on parle de resilience. 

Mise en coherence - Alignements 
Alignement de bout en bout 

Pour garantir la coherence du dispositif de continuite, il est essentiel d’aligner les 
strategies et solutions des fonctions supports (FS) et de l’informatique (IT) sur les 
objectifs de reprise des fronts metiers (FO). 

• Etape 1 : les FS integrent les expressions de besoin et la strategic des FO dans la 
definition de leurs objectifs PCA (iterations, si besoin). 

• Etape 2 : 1’IT aligne sa strategic de reprise pour repondre aux exigences metiers 
consolidees. 

• Etape 3 : le business case est consolide de bout en bout, puis est valide par le mana- 
gement. 

• Etape 4 : l’implantation (ou la revision) des solutions retenues fait l’objet d’un plan 
d’ action. 

• Etape 5 : le dispositif mis en place est documente et valide par le management. 
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Alignement transversal 

De facon similaire a l’alignement « en silo », une mise en coherence transversale est 
necessaire pour les activites ayant identifie des interdependances critiques entre elles 
ou bien lorsqu’elles partagent les memes ressources critiques. 

Alignement avec les scenarii 

Le choix des solutions a deployer peut changer en fonction du scenario de sinistre 
auquel le groupe est confronte. II convient done de proceder a une mise en cohe- 
rence pour mettre en face de chaque scenario les impacts a considerer et les solutions 
permettant la couverture des activites (scenarii impactant directement les metiers et 
problematiques « hubs regionaux ») . 

Optimiser les investissements 

Quel est le perimetre a couvrir ? En tenant compte de la probabilite d’ occurrence et 
des impacts relatifs a l’ensemble des scenarii que le groupe a choisi de couvrir, le 
positionnement dependra du seuil de risque acceptable prealablement defini. 

La seule mise en conformite du dispositif de continuite avec les objectifs reglemen- 
taires ne presente pas d’apport significatif en termes de continuite, et ce, malgre un 
investissement lourd, notamment au niveau informatique. 

A l’inverse, les solutions informatiques requises pour repondre aux exigences regie - 
mentaires donnent au groupe une capacite a assurer la continuite des systemes 
d’information bien au-dela du strict minimum reglementaire. 

Un investissement supplementaire sur des solutions metiers pour assurer la conti- 
nuite des activites vitales et critiques presente un retour sur investissement plus favo- 
rable et permet d’optimiser l’investissement minimal requis pour repondre aux 
exigences reglementaires. 

Plan d'urgence 

Le plan d’urgence vise a gerer de faqon optimale des scenarii de crise affectant le 
patrimoine de l’entreprise et susceptibles de generer des dommages environne- 
mentaux substantiels. Pour les risques hautement proteges, le plan d’urgence est 
constitue de trois niveaux : 

• plan d’ organisation interne des secours, dont la coordination est sous la responsabihte 
du chef d’etablissement, visant a s’assurer de l’evacuation effective du personnel et 
des tiers au moment du sinistre et precisant les modahtes de gestion du sinistre ; 

• plan particular d’intervention : conceme les sinistres d’ampleur plus importante 
en associant la protection civile, les pompiers, le prefet ; 

• plan Orsec, sous la responsabihte du prefet de Region, voire du ministre de l’lnte- 
rieur et ou de l’Environnement. 
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Cellule de crise 

La cellule de crise est l’outil federateur des autres outils de gestion de crise. C’est a la 
fois une structure logistique permettant de gerer la situation de crise dans des 
conditions optimales, et des acteurs internes et extemes qui seront differents en 
fonction du scenario de crise analyse : 

• en tant que structure logistique : la cellule de crise doit toujours etre situee a 
l’exterieur de l’entreprise, dans un endroit confidentiel. C’est une structure inte- 
grant les moyens logistiques suivants : 

— configuration telephonique et informatique operationnelle et testee regulierement, 

- copie des fichiers strategiques, 

- papier a en-tete, machine a affranchissements, 

— vivres, etc. ; 

• en tant qu’acteurs : la cellule de crise est constituee d’acteurs internes et externes, 
differents en fonction du scenario de crise analyse. Nous pouvons distinguer deux 
cas de figure : 

— cas ou les acteurs sont definis par une contrainte reglementaire, 

- cas ou les acteurs sont du ressort de l’entreprise. 


Controle financier des risques 

Le controle financier des risques est structure en trois composantes : 

• autofinancement volontaire des risques ; 

• transfert des risques sur des tiers (dont assurance) ; 

• financements alternates (mutualisation interne de risques acceptables). 

Autofinancement des risques 
Autofinancement preventif 

Les entreprises de droit prive n’ont qu’une obligation d’assurance concernant les risques 
de responsabilite civile, c’est-a-dire de dommages corporels, materiels et immateriels 
causes aux tiers. Par voie de consequence, elles peuvent decider d’autofinancer certains 
risques patrimoniaux ou les franchises (partie du cout du sinistre a la charge de l’assure) 
qui peuvent etre substantielles dans le cas de grands risques industriels. 

A ce titre, les groupes peuvent constituer des provisions pour propre assureur 
correspondant a la valeur expertisee de l’actifpouvant subir le risque. A cette provi- 
sion est adossee l’acquisition d’actifs financiers subordonnes sans risques, generant un 
coupon en cas d’inexistence d’un sinistre. 

Ces actifs subordonnes font l’objet de tests de depreciation pour s’assurer que la 
performance de ces actifs correspond a la performance escomptee (en conformite 
avec la norme IAS 36). 

En cas de sinistre, ce dernier est expertise et l’actif en representation est cede. Dans 
l’hypothese inverse, l’actif financier genere une remuneration securisee. 
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Autofinancement curatif 

II existe trois cas de figure en termes de financement des risques post-sinistre : 

• le financement de la franchise ; 

• l’application de la regie proportionnelle de capitaux ; 

• le trou de garantie. 

Le financement de la franchise est une obligation prevue par le droit des assurances. 
« Afin de moraliser le risque », l’assure doit supporter sur tresorerie courante une 
partie du cout du sinistre. En risques industriels, le montant de ces franchises peut 
largement depasser la tresorerie effective detenue par une filiale de petite taille, 
pouvant entrainer des problemes substantiels de tresorerie dans cette demiere. 

Ce cas de figure ne semble pas envisageable pour les groupes qui se doivent de secu- 
riser le cash-flow du groupe et la remuneration de l’actionnaire. Nous verrons que 
le recours aux comptes captifs de reassurance permet d’autofinancer des niveaux de 
franchise eleves. 

Dans le cas de 1’ application de la regie proportionnelle de capitaux, le groupe doit 
financer l’ecart entre les capitaux declares a l’assurance par le management et la 
valeur de remplacement a neuf du patrimoine detruit. Dans le cas de la realisation 
d’une expertise prealable de capitaux, ce principe n’a pas lieu d’etre. 

Le trou de garantie correspond au cas de figure ou le fait generateur a la base du 
sinistre fait partie des exclusions. L’entreprise doit dans ce cas autofinancer l’integra- 
lite du cout du sinistre (si elle en a la capacite !). 

Transfert des risques 

Le transfert des risques de sinistralite de l’entreprise sur des tiers est fonde sur l’utili- 
sation en parallele de quatre techniques : 

• le transfert financier via essentiellement des techniques bancaires ; 

• le transfert contractuel des risques a l’exception du transfert via les polices 
d’ assurance ; 

• le transfert via programme d’ assurance au niveau national ou international. 

Transfert financier des risques 

Le transfert financier des risques se materialise par le recours a des techniques 
bancaires ou financieres portant sur des risques immateriels (par exemple : risque 
client ou politique). Font ainsi partie de cette famille d’outils les techniques des 
credits documentaires irrevocables et confirmes et les differentes techniques 
d’escompte. 

Transfert contractuel des risques hors assurance 

Ces techniques de transfert de risque se basent sur le transfert des risques sur des tiers 
via rutilisation de clauses contractuelles. 

Ainsi relevent de cette categorie le recours a certains Incoterms ( international commer- 
cial terms) ou l’utilisation de clauses de back-up visant a redeployer les processus 
metiers en cas de situation de crise. 
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Transfert des risques par programme national d'assurance 

L’une des techniques de transfert des risques les plus utilisees porte sur le transfert 
des risques via les programmes d’assurance, tant au niveau domestique qu’intema- 
tional. Dans un optique risk management, 1’ assurance est cependant consideree comme 
etant une technique utilisee a titre residuel. 

Principes generaux de structuration des programmes d'assurance 
Dans les grands groupes, il est indispensable de rationaliser la structuration du 
programme d’assurance. Cette rationalisation est fondee sur un certain nombre de 
principes federateurs, a savoir : 

• « 1’ assurance pour compte de » ; 

• la clause de renonciation a recours ; 

• la franchise par sinistre ou par annee d’assurance ; 

• la limite contractu elle d’indemnite. 

« Assurance pour compte de » 

L’« assurance pour compte de » est une pratique courante dans les groupes indus- 
triels souhaitant minimiser leur budget assurance tout en ayant une qualite de 
garantie elevee. 

Ce type de clause se traduit en general par la souscription d’une police d’assurance 
par la societe mere pour le compte des entites juridiques faisant partie du perimetre 
de consolidation statutaire. 

Clause de renonciation a recours 

Le recours a ce type de clause est un choix strategique dans le cadre de groupes 
optant pour la « souscription pour compte de » (souscription par exemple de la 
societe mere pour le compte des filiales). La direction financiere et le risk manager se 
trouvent face au dilemme suivant : 

• Faut-il, au nom de la solidarite financiere du groupe, renoncer a tout recours entre 
entites du groupe (en cas de prejudices intragroupe) ? 

• Ou, au contraire, faut-il assimiler les entites juridiques du groupe a des tiers et 
autoriser d’eventuelles procedures intragroupe ? 

II n’existe malheureusement pas de reponse standard a cette question qui releve d’un 
arbitrage strategique. 

Franchise par sinistre ou par annee d'assurance 

Le choix d’une franchise par sinistre ou par annee d’assurance est un choix majeur 
en termes de protection de la surface financiere de l’entreprise, surtout dans le cadre 
de la mise en oeuvre de programmes internationaux d’assurance. 

Bien evidemment, afin de proteger la tresorerie courante de l’entreprise, il est indis- 
pensable de negocier une franchise annuelle avec l’assureur. 
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Limite contractuelle d'indemnite 

Dans le cas de l’existence d’un patrimoine industriel eclate sur de multiples sites, il 
s’avere interessant de souscrire une police d’assurance multirisque industrielle, en 
introduisant la notion de limite contractuelle d’indemnite (LCI). 

Cela signifie que 1’ ensemble du patrimoine sera assure sur la base d’une surface deve- 
loppee et que, en cas de sinistre, la valeur indemnisee ne pourra pas depasser la 
valeur expertisee du centre de risque la plus elevee. Ce choix de structuration du 
programme d’assurance permet de reduire de facon importante le budget assurance. 

Presentation des principales polices d'assurance 

En general, une entreprise ayant une activite uniquement domestique va souscrire 
un certain nombre de polices d’assurance visant a securiser sa surface financiere. 

Police multirisque industrielle 

Elle couvre l’ensemble des dommages materiels affectant le patrimoine de l’entre- 
prise, quelle que soit sa qualification juridique, a l’exception des vehicules terrestres 
a moteur et du pare informatique. 

Cette police integre en general une clause « pertes d’ exploitation directes » ou 
« indirectes » (consecutives a un dommage materiel). II s’avere souvent indispensable 
de souscrire une clause « carence de fournisseurs » pour couvrir le risque de rupture 
d’ appr ovisionnement . 

II est aussi indispensable de souscrire la garantie du bris de machine et la couverture 
des stocks (via une clause revisable stocks visant a reactualiser la prime en fonction 
du cout de possession des stocks). 

Police globale informatique 

Elle couvre deux types de clause : « tous risques informatiques » (TRI) et 
« extension risque informatique » (ERI) . 

La clause TRI couvre l’ensemble des dommages pouvant affecter le patrimoine infor- 
matique (unite centrale, serveurs, peripheriques, etc.), quelle que soit leur qualification 
juridique, ainsi que les frais de reconstitution des medias (temps de saisie necessaire a la 
reconstitution de donnees detruites) et les frais supplementaires d’ exploitation (loca- 
tion d’un ordinateur de remplacement, frais de deplacement de personnel). 

La clause ERI couvre les consequences d’une utilisation non autorisee de ressources 
informatiques (cas de detournements de fonds generes par 1’ utilisation illicite de 
codes d’acces logiques). La souscription d’une telle clause n’est pas autorisee dans la 
loi Sarbanes-Oxley, car elle peut inciter a la criminalite interne. 

Police responsabilite civile generale et professionnelle 

Elle couvre l’ensemble des dommages causes aux tiers, qu’ils soient materiels, imma- 
teriels ou corporels. Sont en general couvertes : 

— la responsabilite civile exploitation (dommages generes par un dysfonction- 
nement des processus metiers) ; 

— la responsabilite civile produit (avec tres frequemment une exclusion de 
l’exportation vers les Etats-Unis) ; 

— la responsabilite civile atteinte environnement pour des montants limites ; 
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— la responsabilite du fait des commettants. 

A cette police responsabilite civile generale s’adjoint, en general, une police respon- 
sabilite civile professionnelle couvrant des risques sectoriels specifiques (en banque, 
par exemple : des clauses erreurs sur operations titres, erreurs sur remise de cheque, 
soutien abusif de credit, rupture abusive de credit, etc.). 

Police flotte automobile 

Elle couvre l’ensemble des vehicules terrestres a moteur avec, en general, une 
gestion de flotte basee sur des principes economiques (du type assurance tous risques 
pour les vehicules de moins de cinq ans, assurance responsabilite civile uniquement 
pour les vehicules de plus de cinq ans) . 

Transfert des risques via programme international d'assurance 

Les groupes industriels ou tertiaires souhaitant se developper a l’international, soit 
par creation de filiales, soit par acquisition de societes existantes, doivent s’assurer de 
l’existence de programmes d’assurance homogenes au niveau international, prote- 
geant la surface financiere du groupe. 

II existe trois typologies de programmes internationaux d’assurance, securisant plus 
ou moins la surface financiere des entites figurant dans le perimetre de consolidation 
statutaire, a savoir : 

• souscription locale des risques ( broad local coverage) ; 

• programme parapluie ( umbrella program) ; 

• programme coordonne au niveau mondial ( master coordinated program) . 

L’ensemble de ces programmes est securise via le transfert des risques en deuxieme 
ligne via des traites de reassurance (voir annexes de la premiere partie). 

Souscription locale des risques 

Ce type de programme d’assurance se rencontre dans le cadre de groupes familiaux qui 
precedent a des fusions-acquisitions de societes existantes au niveau international. 

Ce type de programme d’assurance est en general dangereux, car il consiste a laisser 
une autonomie de souscription assurance a chaque filiale etrangere. En cas de trou 
de garantie (fait generateur non assure), les pertes financieres generees par un sinistre 
sont consolidees sur la societe mere et peuvent affecter la surface financiere du 
groupe de facon substantielle. 

Programme parapluie 

Le programme parapluie est un programme d’assurance securisant totalement la 
surface financiere du groupe par le biais d’un financement des risques DIC et DIL 
des filiales etrangeres. II est precede par la realisation d’une cartographic des risques 
au niveau mondial faisant ressortir les risques exclus des garanties assurance au niveau 
domestique (risques DIC [difference in condition] : trou de garantie non assurable loca- 
lement) et valorisant les ecarts entre les objectifs de capitaux a assurer pour chaque 
filiale et les capitaux assurables localement (risques DIL [difference in limit] : difference 
entre les capitaux que le groupe souhaite assurer et les capitaux assurables au niveau 
domestique). 
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Dans le cas de ce programme, les filiales etrangeres s’assurent en premiere ligne 
aupres d’assureurs locaux (via le schema de la souscription locale des risques). L’assu- 
reur de la societe mere (denomme « assureur aperiteur ») assure quant a lui a la fois 
les risques de la societe mere, mais aussi les risques DIC et DIL des filiales. En cas de 
sinistre majeur, la surface financiere du groupe est completement securisee via ce 
dispositif. 

Programme coordonne au niveau mondial 

Le programme coordonne d’assurance est un dispositif s’appliquant aux groupes 
internationaux cotes. Dans ce cas de figure, l’assureur tiers intervient sur le finan- 
cement des risques internationaux, le groupe acceptant d’autofinancer les risques de 
frequence. Ce type de montage est base sur l’existence d’un niveau de franchise tres 
eleve (plusieurs millions d’ euros), imposant la constitution des systemes d’autofman- 
cement de cette demiere par les groupes industriels ou tertiaires. 

Ce type de programme n’autorise qu’une seule police d’assurance au niveau 
mondial applicable a l’ensemble des entites juridiques constituant le perimetre de 
consobdation du groupe. 

Les fihales s’assurent aupres de correspondants locaux de l’assureur aperiteur, la 
societe mere assurant toujours les risques de la societe mere ainsi que les risques DIC 
et DIL des filiales. 

Financements alternates 

Le recours aux financements altematifs releve d’une sous-branche du corporate risk 
management denommee « ingenierie des risques ». 

Cette demiere a pour objectif, d’une part, de financer en intragroupe certains 
risques de sinistrahte maitrisables en vue de realiser de l’autofinancement defiscalise 
sous couvert de transfert de risques ; et d’autre part, de financer des risques emer- 
gents non assurables (via le marche de la reassurance technique) ou de lever des capi- 
taux superieurs au marche de l’assurance via des techniques de titrisation. 

Systemes captifs d' assurance/ reassurance 

Les groupes industriels ou tertiaires peuvent avoir recours a des systemes captifs 
d’assurance ou de reassurance (via filialisation interne au groupe) en vue d’auto- 
financer certains risques de sinistrahte maitrisables. De fait, il existe trois types de 
montages juridico-financiers. 

Systemes captifs de reassurance 

Les systemes captifs de reassurance sont les plus frequents. Dans cette configuration, 
la societe mere detient une filiale ayant le statut de societe de reassurance (c’est-a- 
dire fin an cant uniquement les risques de personnes morales et ne pouvant financer 
les risques concemant les personnes physiques). 

Les risques du groupe sont transferes a un assureur tiers aperiteur qui coordonne le 
programme d’assurance au niveau mondial et retrocede une partie des primes a la 
societe captive de reassurance. L’aperiteur se coassure aupres de la societe captive. 
Afin de proteger leurs surfaces financieres respectives, 1’ assureur aperiteur et la 
captive se reassurent via des traites proportionnels (partages des risques et des primes 
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sur une base proportionnelle) ou non proportionnels (l’assureur supporte un plein 
d’acceptation protegeant la surface financiere). 

Systemes captifs d'assurance 

Les systemes captifs d’assurance sont beaucoup moins utilises que le systeme 
precedent car ils necessitent d’obtenir un agrement par branche d’assurance en vue 
d’assurer des personnes physiques. 

L’interet de ce type de montage est tres limite pour les groupes industriels, alors qu’il 
est majeur pour les groupes bancaires, qui vont utiliser ce type de montage pour 
leurs clients en leur proposant des produits d’assurance captifs (multirisques habita- 
tion, automobile, assurance-vie, etc.). 

Ce type de montage juridico-financier se caracterise par le fait que l’assureur aperiteur 
devient la societe captive de reassurance coordonnant le programme d’assurance au 
niveau mondial. Cette demiere se coassure aupres d’un assureur tiers. Les deux acteurs 
se reassurent via des traites de reassurance proportionnels ou non proportionnels. 

Le reassureur supporte la difference quel que soit le montant du sinistre. 

Comptes captifs de reassurance 

Les comptes captifs de reassurance visent essentiellement a autofmancer les franchises 
dans le cadre de programmes internationaux d’assurance de type master coordinated 
program. 

Dans ce type de montage juridico-financier, le groupe industriel verse une prime 
d’assurance decaissable a un courtier d’assurances international gestionnaire de 
captives de reassurance. Cette souscription de police d’assurance va etre associee a la 
location d’un compte captif de reassurance pour des capitaux correspondant au 
montant de la franchise dans le cadre du programme international d’assurance. 

La location de ce compte captif permet, dans le cas de l’inexistence de sinistres, de 
generer des produits financiers defiscalises recuperes via une participation benefi- 
ciaire au resultat (se traduisant par une diminution de la prime d’assurance pour 
l’annee suivante). 

Chaque compte captif est reassure de facon autonome, ce qui securise le montage 
financier. En cas de sinistre, la societe gestionnaire du compte captif donne l’ordre 
de ceder les actifs en representation et indemnise le sinistre pour le montant de la 
franchise. 

Reassurance financiere 

La reassurance financiere se fixe deux objectifs : 

• intervenir sur des risques emergents que le marche de l’assurance classique refuse 
de reconnaitre comme etant des risques assurables (bug de l’an 2000 en 1999, 
rechauffement de la planete, etc.) ; 

• completer les capitaux sur des risques assurables par le marche de l’assurance et de 
la reassurance technique, mais tres eloignes des objectifs d’assurance recherches. 

Dans les deux cas de figure, la reassurance financiere cherche a utiliser des techniques 
de titrisation visant a annuler un risque de sinistralite aleatoire en l’adossant sur des 
actifs financiers non risques. 
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Le financement des risques non assurables 

La reassurance financiere peut venir se substituer aux techniques d’ assurance dans 
l’hypothese ou le marche de l’assurance refuse de prendre en compte ces risques 
emergents. Les techniques utilisees sont identiques a celles developpees ci-dessous. 

La reassurance financiere en complement de la reassurance technique 

Les techniques de reassurance financiere visant a completer des capitaux existant 
dans le cadre d’un programme d’ assurance traditionnel s’appuient sur des techniques 
d’ingenierie des risques relativement complexes. 

Dans un premier temps, un groupe industriel souscrit un contrat d’assurance avec un 
assureur aperiteur (coentreprise ayant a la fois la qualite d’assureur et de banquier 
pouvant intervenir en tant que syndicat bancaire). La prime d’assurance decaissee est 
deductible fiscalement. 

L’ assureur altematif en sa qualite de banquier intervient en tant que syndicat 
bancaire pour acquerir des titres obligataires via la prime decaissee. II precede ainsi a 
de la titrisation, en adossant le risque pur sur un actif financier non risque presentant 
une remuneration certaine. Ce type de montage financier est assimile a un vehicule 
de refinancement ( special purpose vehicule) et s’avere tres surveille en comptabilite 
financiere IFRS et US GAAP en tant que montage deconsolidant. A cet emprunt 
obhgataire est adossee une option. Dans l’hypothese ou aucun sinistre ne se materia- 
lise, les primes d’assurance versees annuellement alimentent la constitution d’un 
portefeuille obhgataire remunere. L’ option n’est pas exercee et les coupons generes 
par ce portefeuille sont recuperes par le groupe industriel via une participation bene- 
ficiaire au resultat se traduisant par une diminution de la prime d’assurance sur les 
annees a venir. 

Dans le cas inverse (c’est-a-dire si le sinistre se materialise), 1’ option est exercee, 
generant la cession d’actifs obligataires (titres detenus a echeance : held to maturity). 
La cession de ces actifs permet le remboursement du sinistre au groupe industriel, 
protegeant ainsi la remuneration de ses actionnaires. 

D’un point de vue comptable, ce type de montage financier est assimile a un instrument 
de marche, valorise selon la technique de value at risk (en couverture de cash-flows). 
L’instrument de marche apparait a l’actif du bilan du groupe industriel pour une 
valorisation egale a la somme actualisee des amplitudes de cash-flows entre le 
scenario le plus optimiste (f option n’est pas exercee) et le scenario le plus pessimiste 
(T option est exercee chaque annee avec la realisation d’un sinistre majeur entrainant 
la cession de 1’ ensemble des titres detenus a echeance). 

La contrepartie de cet actif financier correspond au passif a la constitution d’une 
reserve de juste valeur. 

L’objectif de cette passation d’ecriture est de comptabiliser la qualite de l’instrument 
de couverture que l’assureur alternatif a propose a son client industriel pour financer 
des risques de sinistralite potentiels. 



Chapitre 4 

Choix optimal, budgetisation 
et mise en oeuvre du aispositif 

Criteres de choix en termes de combinaison optimale 

II est inenvisageable de financer 1’ ensemble des outils de mise sous controle des 
risques presentes au chapitre precedent. Le choix optimal peut se realiser via deux 
types de criteres. 

Scenarii inacceptables 

Ainsi seront traites en priorite les scenarii qui, du fait de leur realisation, pourraient 
remettre en cause la perennite de l’entreprise. Dans ce cas de figure, le critere 
budgetaire est tres secondaire, des investissements de prevention substantiels permet- 
tront d’eradiquer le risque a titre preventif. 

Critere de la valeur actuelle nette 

Pour les autres scenarii, le critere budgetaire est important. Comme dans toute deci- 
sion d’investissement, il faudra demontrer l’impact des mesures preventives sur la 
protection du cash-flow en utilisant le critere de la valeur actuelle nette (VAN). 
Compte tenu du fait que le risk management s’interesse aux risques de sinistralite, 
l’objectif n’est pas de rechercher la maximisation de la rentabilite economique, mais 
de rechercher la combinaison d’ outils minimisant les pertes financieres en cas de 
realisation du risque (choix de la VAN la moins negative). 


Le reseau budgetaire risk management 

L’objectif du reseau budgetaire risk management est de fournir au risk manager un 
certain nombre d’ outils de pilotage lui permettant de demontrer soit la maitrise des 
couts de son departement, soit la rentabilite de son centre de profit (dans l’hypothese 
ou il est gestionnaire de systemes captifs de reassurance) . 

Ce reseau budgetaire est compose de deux etats budgetaires : 

• le compte de resultat risk management ; 

• le bilan risk management. 
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Compte de resultat risk management 

Compte de resultat risk management budget 2003 
Charges 

► Masse salariale : risk manager, ingenieurs securite, environnement 
Jr- Honoraires : controle technique, expertises, consulting 

► Dotation : investissements de securite et gestion de crise 

► Primes d 'assurance : programme national, master policy, umbrella policy, 
captive de reassurance, reassurance financi ere 

► Total couts de fonctionnements 

► Remboursement de sinistres 

jr Produits financiers de la captive 

► Resultat analytique risk management 


Bilan risk management 


Actif 

Passif 

Actif circulant 

Passif circulant 

Liquidites de la captive 


Titres de placement de la captive 

Dettes commerciales 
Dettes sur remuneration 

Creances clients 


Immobilisations 

Ressources a long terme 

Investissements de securite 
Investissements de gestion de crise 

Fonds propres de la captive 


Quote-part dettes a long terme 

Participations de la captive 


Autres investissements 



Chapitre 5 

Reporting, monitoring et retour d'experience 

Specificites des tableaux de bord risk management 

II existe deux typologies d’indicateurs au sein des tableaux de bord risk management : 

• les tableaux de bord sinistralite. Ils suivent tant la frequence que la gravite des sinis- 
tres par typologies de risques en vue d’identifier d’eventuelles tendances stmcturelles, 
ou permettent de calculer la prime technique (gravite X frequence) : 

— sinistres automobiles, 

— sinistres IARD (incendie autres risques divers), 

— sinistres responsabilite civile, 

— sinistres informatiques, 

— sinistres accidents du travail, 

— sinistres atteinte a l’environnement, 

• les tableaux de bord performance et pilotage. 

II s’avere indispensable de construire au sein du Sirm des tableaux de bord mana- 
gement des risques dynamiques, bases sur une logique de ponderation (integrant la 
tolerance au risque, les impacts et la frequence), les attributs de chaque risque et 
revolution de la vulnerabilite dans le temps. 

Les indicateurs retenus ont pour finalite de s’assurer de l’atteinte des objectifs et de 
comprendre les moyens mis en oeuvre pour les atteindre : 

• ratio sinistres a prime ; 

• cout des sinistres ; 

• diminution de la frequence des sinistres ; 

• effrcacite de la politique de souscription ; 

• cout des processus risk management engages ( credit management, supervision risque 
informatique, etc.). 

Retour d'experience et sGrete de fonctionnement 

Certains groupes industriels completent l’analyse de la sinistralite par la mise en oeuvre 
d’approches du type surete de fonctionnement, visant a eradiquer les causes de survenance 
du risque. Ce type d’approches necessite de realiser une analyse causale suite a chaque 
sinistre en vue d’identifier les differentes typologies de causes internes ou extemes : 

• defaillance humaine ; 

• mauvaise organisation ; 

o_ • defaillance du management ; 

6 • insuffisance de prevention ; 

• cas de force majeure. 



Chapitre 6 

Retour d'experience sur la mise 
en oeuvre de la methodologie risk management 

Quels compromis pour quels objectifs ? 

Delais 

Le delai de mise en oeuvre du dispositif de management des risques est un facteur 
determinant dans le choix de 1’ organisation et des objectifs a fixer au perimetre du 
dispositif de risk management. 

Le delai dependra de la nature meme du projet et des objectifs que la societe se fixe. 
De nombreux groupes cotes francais s’orientent via une approche constitute sur un 
retroplanning. En general, ces groupes partent d’une approche purement descriptive de 
leur dispositif de risk management. L’evolution vers un systeme de risk management effi- 
cace, necessitant de mesurer l’efficacite du dispositif par la construction du systeme 
d’information risk management, genere des impacts organisationnels substantiels. 

Les dispositifs de fusions-acquisitions et rapprochements doivent etre examines avec 
precaution. Ils peuvent entrainer la construction, dans des delais tres rapides, d’un 
dispositif de risk management impose par la societe predatrice a la societe cible, sans 
negotiation possible de cette demiere. Cela peut se traduire par des cartographies de 
risques inadaptees, et par un dispositif soit surdimensionne ou sous-dimensionne et 
relativement inefficace. 

Perimetre et champs du projet 

Pour differencier le perimetre de consolidation comptable et de risk management, 
on fera remarquer que le perimetre du dispositif de risk management n’est pas neces- 
sairement egal au perimetre de consolidation ou de combinaison integrant la societe 
mere, les filiales, les societes affiliees, coentreprises et entites ad hoc. 

En effet, il est necessaire de reflechir sur le dispositif de risk management des entites 
(societes, unites d’affaires, zone geographique) en fonction de seuils de materialite 
significatifs (poids des processus dans les etats financiers) . 

De ce fait, certaines entites non significatives peuvent etre exclues du dispositif de 
risk management ou parfois le niveau d’ exigence requis n’est pas le meme en fonc- 
tion de la taille de la filiale ou de la societe affiliee. 
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Organisation 

Structure ad hoc creee de type direction 

La creation d’une structure ad hoc de risk management implique, de la part de la 
direction, la volonte d’afficher clairement dans l’organigramme l’importance du 
projet et de la perennite du dispositif. 

Cette structure peut etre concentree sur un responsable du risk management et 
s’appuyer sur des relais que sont les correspondants risk management de division. 

La creation d’une telle structure ne vise pas a deresponsabiliser les operationnels, bien 
au contraire, mais a permettre une meilleure coordination et un langage unique. 

Construction collegiale basee sur une responsabilite manageriale 

Certains groupes decident de construire un dispositif de risk management mature a 
partir d’une production collegiale portee par les operationnels via des comites de 
risques. Ce dispositif porte en lui-meme ses forces et ses faiblesses (ses forces : les 
cartographies de risques correspondent a une connaissance approfondie des metiers ; 
ses faiblesses : on assiste rapidement a des divergences methodologiques generant des 
« chapelles du risk management » au sein de la meme entreprise) . 

Construction collegiale federee par une direction du risk management 

D’autres groupes adoptent une approche mixte impliquant les operationnels mais 
s’assurant d’une coherence methodologique via la direction du risk management. 

Budget 

Internalisation ou externalisation 

Le choix d’intemaliser ou d’extemaliser le projet n’est pas sans incidences ni risques. 
Certaines fihales de grands cabinets de commissariat aux comptes proposent en effet 
ce type de prestations. Tout internaliser permet d’impliquer les operationnels dans la 
mesure ou le responsable du projet a le poids suffisant dans la hierarchie. 

Le risque induit est une difficulte a identifier les bonnes pratiques qui ne seraient pas 
en place dans 1’ organisation. 

L’ externalisation complete du dispositif de risk management n’est pourtant pas 
conseillee. Le risque de desappropriation par les equipes internes du dispositif est tres 
eleve. Une fois les consultants partis, le dispositif s’etiole et n’est plus maintenu, alors 
que les risques et processus critiques sont toujours presents. 

Bien entendu, un melange des deux permet d’allier la connaissance interne et le 
benchmark de ce qui se pratique ailleurs. 

Niveau d'automatisation donne au Sirm 

La problematique du niveau d’automatisation a dormer au systeme d’information 
risk management (Sirm) est l’une des plus sensibles a traiter dans le cadre du projet 
construction d’un dispositif de management des risques. 

L’idee est bien de construire un dispositif de risk management qui permette de 
mesurer l’efficacite de la demarche. 
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Avec quels moyens ? 

Mobilisation des equipes et de la direction : un engagement 
incontournable de la direction generale 

Constituer ses equipes internes, trouver le meilleur accompagnement exteme avec 
des outils appropries pour l’objectif fixe est essentiel. 

Mais tout cela ne fonctionnera que si 1’ engagement total et affiche de la direction 
generale et des autorites de gouvemance est sans faille. Cet engagement est visible 
par la creation des comites de risque reunis regulierement avec des comptes rendus 
partages et largement diffuses. 

Appropriation des specificites methodologiques et du langage risk assessment 

Le langage du risk management n’est pas immediat pour tous. La formation a ses 
specificites est essentielle, et pas seulement pour l’equipe chargee du dispositif. Cet 
engagement de formation permet a tous de parler un langage commun et d’adherer 
en bonne connaissance de cause au dispositif, qui, de fait, devient un element a part 
entiere de l’activite. 

Prise en compte de la dimension multiculturelle et intermetiers, 
et prevention du risque social 

La construction d’un dispositif de risk management efficace passe, de notre point de 
vue, par la necessite de brasser les populations fonctionnelles et operationnelles pour 
faire converger les buts. 

Management du projet et outils de mise en oeuvre 

La construction d’un dispositif de risk management mature necessite de developper 
une approche progressive et pragmatique. Vouloir tout couvrir en une seule fois est 
illusoire et inefficace. 

II faut bien cemer les enjeux majeurs et les zones a risque pour mettre en oeuvre les 
dispositifs adaptes a chaque groupe, qui seront ameliores au fil de l’eau. 

Premiere etape : definir un referentiel de risk management adapte a la culture du 
groupe, puis fixer ses priorites par rapport a ce referentiel en alignant le dispositif sur 
les objectifs strategiques. 

Deuxieme etape : I’integration de la notion de risques est primordiale, afin de focaliser 
les energies sur les veritables enjeux du groupe et favoriser l’efficacite des moyens 
alloues. A ce stade une cartographic des risques s’avere indispensable. 

Troisieme etape : identifier et/ou definir les regies, modeles d’ organisation et modes de 
gouvemance du groupe au regard des risques et objectifs du groupe, en s’assurant de la 
documentation et de la communication de ces principes. 

Quatrieme etape : passer en revue les processus majeurs et critiques de I’entreprise, ainsi que 
ses meta-risques, en visant a identifier les dysfonctionnements significatifs necessitant 
d’engager des plans correctifs (cette etape constituant un veritable levier d’amelio- 
ration de la performance). 

Cinquieme etape : definir les modes de surveillance de ces dispositifs et les acteurs associes. 



Deuxieme partie 

L'entreprise industrielle hors risque 


L’objectif de cette deuxieme partie est de fournir au lecteur : 

• les outils en vue de realiser une cartographic des risques de facon efficiente ; 

• une matrice de mise sous controle effective par risque industriel majeur (IARD, 
informatique, produit, etc.). 



Chapitre 1 

Cartographie des risques industriels 


Modalites de realisation d'une cartographie des risques 

La construction et l’actualisation d’une cartographie des risques est un processus 
complexe necessitant d’impliquer l’ensemble des mandataires sociaux au niveau 
international et les correspondants risk management par zone geographique. 

La premiere etape consiste a identifier les micro-risques au niveau de chaque filiale, 
en partant de la sinistralite observee et en simulant d’autres risques potentiels affec- 
tant les centres de risque. 

La deuxieme etape consiste a agreger ces micro-risques en macro-risques, a la fois 
par unite d’affaires et par zone geographique a l’international, en faisant ressortir 
certaines specificites (existence du risque politique, par exemple lie a certaines zones 
geographiques ; ou existence de risques specifiques lies a chaque unite d’affaires). 

La troisieme etape permet la consolidation des meta-risques au niveau consolide du 
groupe, en mettant en exergue les risques inacceptables necessitant de deployer des 
outils de gestion de crise en cas de realisation. 

Bien souvent, notre experience en termes de realisation de cartographie des 
processus fait ressortir des divergences depreciation substantielles, par unite 
d’affaires ou par zone geographique, majorees par une difficulte de realiser l’exercice 
d’actualisation des cartographies de faf on recurrente. 


La prise en compte des specificites sectorielles 

La construction des cartographies doit prendre en compte des specificites sectorielles 
bees aux groupes industriels. 

Ainsi sont concemees par le risque « produit » (dommages corporels lies a la 
consommation des produits) les entreprises suivantes : 

• laboratoires pharmaceutiques ; 

• groupes agroalimentaires ; 

• groupes automobiles. 

Sont surtout concemes par le risque « atteinte a l’environnement » les groupes 
=| appartenant au secteur suivant : 

• groupes petroliers ; 

Ij • entreprises chimiques ; 

• entreprises a « risques hautement proteges ». 
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La construction d’une cartographic des risques integre done a la fois des risques 
generiques concemant l’ensemble des entreprises (risques client, fournisseur, etc.), et 
des risques specifiquement sectoriels. 


Donner de ^intelligence au dispositif de risk management 

La construction d’un dispositif de risk management mature au sein des groupes 
industriels ne passe pas uniquement par le deroulement d’une methodologie struc- 
turee. Elle implique aussi de donner une « intelligence globale » au dispositif de risk 
management en vue de se concentrer sur les risques industriels significatifs. 

II s’agit done de mettre en oeuvre un dispositif se focalisant sur : 

• une demarche systematique et recurrente pour identifier, hierarchiser, prioriser, 
evaluer et mettre sous controle les risques industriels ; 

• une comprehension et une analyse transverse des risques affectant le groupe ; 

• une comprehension des interrelations entre les differents risques (notion de sce- 
narii de rupture) ; 

• la relation directe avec la creation de valeur (en quoi un dispositif de risk mana- 
gement efficace protege la creation de valeur du groupe ?) ; 

• l’integration du risk management dans le quotidien ( risk assessment : reflechir risques !) ; 

• le suivi de l’exposition aux risques via un systeme d’information risk management 
efficace ; 

• le niveau d’adequation du dispositif de risk management face a l’appetence du 
groupe en termes de risques. 

Risk management et appetence au risque 

La construction d’un dispositif de risk management efficace passe par la realisation 
d’un diagnostic objectivant le niveau d’ appetence reel des dirigeants face aux 
risques. 

II existe ainsi cinq profils psychologiques differents en termes d’ arbitrage 
risques/opportunites, dont les caracteristiques sont les suivantes. 

Le profil risquophile 

La prise de risque est consideree comme etant une composante a part entiere de la 
strategic generale du groupe, elle est encouragee a ce titre. 

Le risque est reconnu en tant que valeur et les aspects reglementaires sont assimiles a 
des opportunites. 

Le profil tolerant aux risques 

Le groupe adopte une strategic agressive en termes de prise de risque. 

La mise sous controle des risques passe par des choix d’acceptation ou de reduction 
de ces demiers. 
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Le profil neutre 

Le groupe adopte une approche structuree en termes d’arbitrage risques/opportunites. 
Les criteres de rentabilite et de prise de risque sont evalues a un niveau identique. 

Le profil moyennement risquophobe 

Le groupe prend enormement de precautions en termes d’ evaluation et de quantifi- 
cation des risques. 

Les objectifs associes au risk management sont prioritaires sur les objectifs de renta- 
bilite du groupe. 

Le groupe prefere transferer des risques sur des tiers. 

Le profil risquophobe 

Le groupe accepte un minimum de risques. 

Les risques qui ne peuvent etre mis sont controle sont supprimes. Cela peut se 
traduire par un desengagement de certaines activites. 

Structuration « top down » ou « bottom up » ? 

La mise en oeuvre d’un dispositif de risk management « dans l’urgence » presuppose 
f implementation d’une approche top down a partir d’un catalogue de risques groupe, 
qui sera affinee ulterieurement par une approche bottom up. 

La realisation d’une cartographic des risques a partir du terrain ( bottom up) s’avere 
difficile a mettre en oeuvre dans la pratique, et ce, pour deux raisons : 

• differences de perception des risques par unite d’affaires et en fonction de la cul- 
ture d’appartenance ; 

• differences substantielles dans la quantification des impacts et dans l’estimation des 
probabilites d’ occurrence des risques (les dirigeants operationnels ont souvent ten- 
dance a surevaluer les impacts des risques pour etayer leur importance, ce qui 
necessite ulterieurement des perequations importantes) . 


Preparer la certification ISO 31000 

Le projet de norme ISO 31000 « Management du risque » est interessant car il 
permet d’aboutir a une convergence potentielle entre une methodologie normative 
et une methodologie reglementaire (COSO). Le projet de norme ne conceme pas 
seulement les groupes cotes mais l’ensemble des organisations privees ou publiques. 
Le projet de norme est structure en trois points : 

• principes de management des risques ; 

• cadre organisational du management des risques ; 

• processus de management des risques. 
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Principes de management des risques 

Le projet de norme ISO 31000 prevoit un certain nombre de principes federateurs 
structurants, c’est-a-dire qu’il vise a : 

S'assurer de la creation de la valeur 

A la difference de la methodologie du COSO, le projet de norme ISO fait ressortir 
explicitement l’exigence de creation de valeur ou de protection de cette demiere via 
la protection des biens et des personnes et la protection de l’image de f organisation. 

Faire partie integrante des processus organisationnels 

Le projet de norme reconnait le dispositif de risk management en tant que processus 
global et s’assure de l’existence d’une interrelation entre processus et risques. 

Eire integre dans la prise de decision strategique 

ISO 31000 reconnait la dimension risk assessment comme etant une dimension essen- 
tielle et met en exergue l’implication du top management en termes d’arbitrage 
risques/opportunites, ainsi que le niveau d’appetence des dirigeants en termes de 
maitrise des risques. 

Traiter explicitement de I'incertitude 

Le projet de norme demande a forganisation de donner sa definition des risques 
aleatoires et incertains ainsi que de qualifier la notion de risques acceptables et inac- 
cep tables. 

Avoir une approche systematique, structuree et proactive 

La norme est fondee sur la construction d’un dispositif recurrent base sur le retour 
d’experience et la notion d’ eradication du risque. 

Se baser sur la meilleure information disponible 

ISO 31000 reconnait l’exigence d’etayer le dispositif de risk management sur f etude 
de series chronologiques anterieures, mais aussi d’elements de veille permettant de 
mieux anticiper le futur. 

Etre construit sur mesure 

Le projet de norme ISO reconnait la necessite d’ adapter le dispositif de management 
des risques a forganisation, aux specificites culturelles de forganisation. Cet aspect 
est fort interessant et se differencie de la methodologie du COSO, qui est relative - 
ment monolithique. 

Integrer les facteurs humains et culturels de I'organisation 

La norme reconnait le poids du comportemental dans la mise en oeuvre d’un dispo- 
sitif de management des risques efficace. A noter, la encore, une difference substan- 
tielle avec le COSO, qui ne met en exergue que l’aspect methodologique, sans 
s’interesser a la dimension psychosociologique. 
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Etre transparent et participatif 

ISO 31000 met en exergue l’importance de construire un dispositif de management 
des risques avec la collaboration des parties prenantes (fournisseurs, sous-traitants, 
entries portant des processus externalises). 

La encore, il faut noter l’aspect innovant et differenciateur du projet de norme par 
rapport au COSO, qui ne raisonne qu’en fonction du perimetre de consolidation 
statutaire stricto sensu. 

Etre dynamique, iteratif et reactif 

ISO 31000 recommit la necessite d’etre en veille permanente par rapport a l’identifica- 
tion des risques emergents. En ce sens, la norme se differencie de la methodologie du 
COSO, qui raisonne plutot en termes de risques embarques relativement stabilises. 

Faciliter I'amelioration et devolution continue de I'organisation 

La finalite du dispositif est la montee en puissance du niveau de maturite du dispo- 
sitif de management des risques (attributs d’un management des risques ameliore) . 

Le cadre organisationnel du management des risques 

Le dispositif de management des risques prevu dans le projet de norme ISO est 
structure en cinq etapes. 

Mandat et engagement 

Cette etape necessite un engagement ofEciel des acteurs de la gouvemance en 
conformite avec l’ensemble des reglementations en vigueur. 

Conception du cadre organisationnel de management du risque 

Elle passe par une analyse strategique du type forces et faiblesses, risques et opportu- 
nites en integrant a cette demarche les parties prenantes extemes. 

L’originalite de ce projet de norme ISO reside dans l’integration systematique de ces 
demieres dans le dispositif de management des risques, du fait qu’elles portent une 
partie significative des risques de sinistralite. 

Mise en oeuvre du management des risques 

Elle passe par la mise en oeuvre du cadre organisationnel de management des risques 
et se traduit, entre autres, par l’obligation pour l’entreprise de justifier ses prises de 
decision, y compris la determination des objectifs alignes sur les resultats du 
processus de management des risques. 

Surveillance et revue du cadre organisationnel 

Cette etape impose la construction d’indicateurs de performance permettant de 
monitorer la montee en puissance de la maturite du dispositif de risk management et 
d’effectuer regulierement des revues de performance. 
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Amelioration continue du cadre organisationnel 

Cette etape doit se materialiser par une eradication des causes des risques les plus signi- 
ficatifs via retour d’experience (voir l’analyse du type surete de fonctionnement). 

Le processus de management des risques 

Le processus prevu par le projet de norme ISO se decompose en cinq etapes. 

Communication et consultation 

Cette premiere etape vise a partager, avec les parties liees, une meme vision du 
dispositif de management des risques a mettre en oeuvre, en echangeant les hypo- 
theses de travail communes. 

Etablissement du contexte 

Par la prise en compte de l’ensemble des contraintes et opportunites offertes par les 
evolutions reglementaires (reglementaire, concurrentiel, monetaire, demographique, 
etc.) et de la flexibihte de l’organisation interne mise en oeuvre pour anticiper ces 
risques environnementaux. 

Appreciation du risque 

Identification du risque 

L’objectif est de reahser une cartographic des risques basee sur les evenements 
susceptibles de faciliter, d’empecher, de differer l’atteinte des objectifs. Le dispositif 
vise aussi a s’interesser aux risques Hes a la non-saisie d’une opportunite. 

Dans ce sens le projet de norme ISO 31000 couvre a la fois les dimensions corporate 
et business risk management. 

Analyse du risque 

Le projet de norme demande de decrire les causes des risques affectant les processus 
ainsi que leur impact positif ou negatif, en probabilisant les faits generateurs. 

La methodologie proposee va dans le sens des approches classiques developpees en 
termes de controle interne et de management des risques. 

Evaluation du risque 

Cette etape consiste a comparer le niveau de risque estime lors de la simulation des 
scenarii de risques avec les criteres de risque etabhs lors de l’etabhssement du contexte. 
Si le niveau de risque ne satisfait pas les criteres d’acceptabihte (parce qu’il se traduit 
par une remise en cause de la perennite de l’entreprise), il convient que le risque 
fasse l’objet d’un traitement (dupbcation, separation, suppression, etc.). 

Traitement du risque 

L’objectif de cette etape est de supprimer le risque ou de reduire le niveau de vulne- 
rabilite de l’entreprise : 
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• eviter le risque en decidant de ne pas commencer une nouvelle activite ou de sup- 
primer une activite existante ; 

• supprimer la source du risque via des investissements de protection ; 

• changer la probabilite d’occurrence via des investissements de dupbcation ; 

• partager le risque avec une ou plusieurs parties prenantes (dont transfert par l’assu- 
rance). 

Cette methodologie de traitement du risque est identique a la methodologie ameri- 
caine d’ audit en risk management definie par l’Associate in Risk Management 
(ARM). 

Surveillance et revue 

Cette phase passe par la construction d’un systeme d’information management des 
risques permettant de suivre le monitoring des risques. 

Cette methodologie s’avere relativement proche de celle de l’ARM, qui se decom- 
pose en cinq etapes : 

• identification et analyse des risques (etude de la sinistralite anterieure, simulation 
de 1’impact d’un sinistre majeur sur les objectifs strategiques, quantification des 
pertes generees par un sinistre majeur) ; 

• etude des outils de controle des risques (controle interne, technique et financier 
des risques) ; 

• choix optimal en termes de combinaison d’ outils (base sur les criteres de la mini- 
misation des impacts) ; 

• mise en oeuvre des decisions (dont budgetisation) ; 

• reporting, monitoring (tableaux de bord management des risques). 



Chapitre 2 

Le dispositif de corporate risk management 

L’objectif de ce chapitre est de presenter les modalites de mise sous controle trans- 
verse des risques de sinistralite pouvant affecter un groupe industriel, a savoir : 

• la mise sous controle du risque produit/production ; 

• la maitrise du risque informatique ; 

• la mise sous controle du risque client ; 

• la mise sous controle du risque fournisseur ; 

• la mise sous controle du risque politique ; 

• la mise sous controle du risque humain ; 

• la mise sous controle du risque social ; 

• la mise sous controle du risque atteinte a renvironnement ; 

• la mise sous controle du risque IARD. 

La mise sous controle du risque produit 

Des enjeux necessitant le recours aux financements alternatifs 

Compte tenu de 1’importance des enjeux financiers lies a la remise en cause de la 
responsabilite civile produit de nature contractuelle ou quasi delictuelle, les groupes 
industriels ont du completer le transfert du risque produit via des programmes 
d’assurance a rinternational (exemple du master coordinated program), par la creation 
de systemes captifs de reassurance (dont font partie les societes captives de reassu- 
rance) permettant de lever des fonds complementaires a ceux souscrits sur le marche 
concurrentiel domestique de 1’ assurance. 

Ils doivent aussi muscler le dispositif de gestion de crise via des procedures confiden- 
tielles (plan de retrait des produits, plans de survie, communication de crise). 
L’objectif de ces procedures est de fournir une check-list d’instructions operation- 
nelles a utiliser en cas de remise en cause de la responsabilite civile produit, et de 
definir a priori les registres de communication de crise a developper. 

L’objectif du recours aux financements alternatifs, quant a lui, est de permettre aux 
groupes cotes de lever des fonds complementaires en deuxieme ou troisieme ligne et 
de constituer de l’autofmancement defiscalise, dans l’hypothese ou aucun sinistre ne 
se presente. 

Ce montage relevant de l’ingenierie des risques permet aussi, en cas de plan de 
retrait majeur, de proteger la surface financiere du groupe et de verser la remune- 
ration prevue a l’actionnaire. 

Ce type de montage n’a de sens que si le groupe maitrise parfaitement ses risques de 
responsabilite civile generale, a laquelle est rattache le risque produit. 
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Des scenarii de communication de crise produit modifiant les registres 
de communication externe traditionnels 

La routine et V enactment sont des attitudes manageriales normales des groupes de 
taille importante. 

Par voie de consequence, une situation de crise va fortement affecter la culture du 
groupe et risque de paralyser son fonctionnement. 

Cependant une situation de crise a des impacts anxiogenes et psychologiques remet - 
tant en cause les processus routiniers de l’entreprise. 

Ainsi, la crise du Tynelol a remis en cause dans la culture de Johnson & Johnson la 
croyance selon laquelle un medicament ne peut qu’ameliorer la sante des individus. 
De meme, la crise du benzene chez Perrier enseigna aux dirigeants du groupe que 
l’eau de source pouvait s’averer toxique. 

Les groupes industriels doivent done formahser, a titre preventif, la communication 
de crise a mettre en oeuvre en cas de remise en cause de la responsabilite civile 
produit : 

• definir une strategic marketing et mix marketing de crise par grande famille de faits 
generateurs (acte de criminalite, dysfonctionnements du systeme de controle 
qualite) ; 

• definir les differentes typologies de cibles, les medias utibses, la nature et le con- 
tenu du message ; 

• mettre en oeuvre une structure de veille mediatique, permettant d’enregistrer a 
titre preventif les risques de derive au titre du risque produit (seuil d’alerte sur le 
reporting reclamations clients). 

Le contenu du message, quant a lui, peut etre offensif, en vue d’exonerer la respon- 
sabilite civile produit en cas de rumeur non justifiee ou dans le cas d’une simple rela- 
tion de correlation. Au contraire, le contenu peut etre defensif et securisant, dans le 
cas d’une relation de causabte. II peut d’autre part opter pour un registre relative - 
ment generaliste pour le grand pubbe, et opter pour un mode operatoire et 
descriptif pour le reseau de distribution (modahtes de retrait, de substitution, 
d’indemnisation) . 

Enfin les cibles, quant a ebes, seront relativement segmentees (prescripteurs, stakehol- 
ders - preneurs de risques [chents, foumisseurs, reseau de distribution, etc.]). 

A titre curatif, la communication de crise exige : 

• d’ avoir des structures permanentes pour informer et etre informe rapidement ; 

• de pouvoir prendre du recul ; 

• de rester credible et coherent ; 

• de gerer en meme temps les acteurs internes et extemes ; 

• de communiquer sans gener les responsables operationnels. 

L’efficacite de la communication de crise adoptee dans le cadre d’une reflexion 
menee en termes de risque produit presuppose la negotiation prealable d’un contrat 
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de back-up avec une structure de marketing telephonique, prevoyant la mise en 
oeuvre d’un numero vert, interrogeable gratuitement par les tiers. 

L’interet majeur de l’utilisation de cette structure reside dans le fait que, d’une part, 
par le biais de la mutation de cadres de l’entreprise sur cette structure, le groupe va 
vehiculer un registre de communication de crise unique et standardise concernant 
ce scenario de crise et que, d’autre part, l’entreprise ne dispose pas en general sur son 
propre site d’une capacite de traitement des appels telephoniques d’un volume sufh- 
samment consequent en cas de crise. 

Une logistique plan de retrait des produits du marche modifiant 
la composante distribution du mix marketing 

L’outil plan de retrait logistique des produits du marche necessite la redaction prea- 
lable d’une procedure conhdentielle expliquant dans quel cas de figure le groupe 
sera oblige soit de proceder a une suspension provisoire de commercialisation, soit 
de proceder a un retrait effectif des produits du marche (uniquement dans le cas de 
1’ existence d’une relation d’imputabilite). 

Voici les differents modes de retrait envisageables : 

• selectif/global, dependant de la traf abilite des lots ; 

• a l’initiative de l’entreprise ou a celle du client. 

Cette procedure explique aussi les liens entre l’outil plan de retrait et les autres outils 
de crise connexes (cellule de crise, plan de survie et communication de crise). 

Le plan de survie dans le cadre du plan de retrait des produits vise a organiser la 
fabrication des produits de substitution, a arreter la fabrication du produit incrimine, 
a prevoir l’indemnisation des clients ayant subi un prejudice. 

Dans le cadre de la mise en oeuvre de la loi de securite hnanciere et de la conver- 
gence vers la 8 e directive europeenne sur l’audit legal, les groupes cotes francais et 
europeens doivent formaliser leurs processus de business risk management en vue de 
proteger la remuneration des actionnaires. La mise sous controle du risque de remise 
en cause de la responsabilite civile produit s’avere etre un dossier prioritaire pour les 
groupes susceptibles d’etre affectes par un tel scenario de crise. 

Au-dela des outils de gestion de crise produit devant etre concus a priori, la culture 
risk assessment doit devenir un prealable comportemental pour aboutir a une veri- 
table efhcacite de ces outils. 


La mise sous controle du risque informatique 

La mise sous controle du risque informatique, tant physique (destruction d’une salle 
d’ exploitation) qu’immateriel (contamination virale, etc.), concerne aussi bien les 
groupes industriels que tertiaires. 

Le controle preventif des risques integre a la fois les outils de controle interne et de 
gestion de crise informatique, les investissements de securite informatique et les 
outils de controle financier. 
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Controle preventif du risque informatique 
Controle interne et outils de gestion de crise 

Sont integrees dans cette famille d’outil les procedures suivantes : 

• securite logique (sauvegardes) ; 

• securite physique (controle des acces de la salle d’ exploitation, du reseau) ; 

• plan de protection des informations ; 

• procedures de gestion de crise (plan de reprise d’activite informatique, identifi- 
cation des applicatifs critiques, plan de reprise degrade). 

Bien entendu, ces procedures n’ont de sens que si leur efficacite est testee regu- 
lierement. 

Controle technique 

II integre les investissements de securite physique (onduleurs, detection d’intrusion) 
et logiques (firewall), mais aussi les charges d’ exploitation engagees au titre de la 
securite informatique (ingenieurs en charge de la securite informatique par 
exemple). 

Controle financier 

Le controle financier du risque est essentiellement constitue du transfert contractuel 
du risque. 

De nombreux groupes souscrivent une police globale informatique pour assurer le 
materiel informatique quels que soient sa qualification juridique et les frais de 
reconstitution des medias en cas de defaillance du dispositif de sauvegarde. Peuvent 
aussi etre souscrits des frais d’ exploitation supplementaires, tels que la location d’un 
ordinateur de remplacement. 

De surcroit, le deployment d’un plan de reprise informatique passe obligatoirement 
par la souscription de clauses de back-up a titre preventif aupres de constructeurs 
informatiques permettant le redeploiement des traitements critiques chez ce dernier 
en cas de sinistre. 

Controle curatif du risque informatique 
Controle interne et outils de gestion de crise 

En cas de sinistre informatique, la cellule de crise deploiera le plan de reprise d’acti- 
vite informatique en faisant traiter en priorite les applicatifs critiques a la date du 
sinistre avec la communication de crise interne et externe associee. 

Controle financier 

En cas de sinistre, l’assureur a une obligation d’indemnisation via la police globale 
informatique, a l’exception de la franchise pouvant etre financee via un compte 
captif de reassurance. 
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La mise sous controle du risque client 

Controle preventif du risque client 
Controle interne 

La mise sous controle du risque client depend du type de strategic marketing deve- 
loppee par l’entreprise. 

Ainsi, dans le cas d’une strategic business to business, les outils mis en oeuvre sont les 
suivants : 

• analyse financiere des clients ; 

• renseignements sur les societes ; 

• mise en oeuvre d’ outils de scoring client ; 

• mise en oeuvre d’un dispositif de credit management ; 

• procedure de gestion a 1’ amiable et de precontentieux. 

Alors que, dans le cadre d’une politique business to customer, les outils associes sont les 
suivants : 

• verification de la cotation Banque centrale (fichage Banque centrale) ; 

• tableaux de bord incidents de paiement ; 

• analyse financiere des revenus declares ; 

• procedure de gestion a 1’ amiable et precontentieux. 

Controle financier 

La mise sous controle du risque client passe par differents types d’ outils : 

• transfert contractuel du risque client : exemple via contrat d’affacturage ; 

• transfert par assurance : via assurance-credit simple ou assurance-credit Excess 
necessitant la mise en oeuvre d’un dispositif de credit management efficace ; 

• transfert financier : via l’utilisation de credits documentaires irrevocables et confir- 
mes (qui ont en plus l’interet d’annuler le risque politique), titrisation de creances 
clients (exemple de fonds communs de creances) . 

Controle curatif du risque client 
Controle interne 

La mise sous controle du risque en post loss se materialise par la mise en oeuvre de 
procedures de contentieux couplee a la voie extrajudiciaire (recours a des huissiers 
de justice ou a des societes de recouvrement) . 

Controle financier 

II se materialise en cas de souscription d’une police d’ assurance-credit par une 
indemnisation assurance suite a la comptabilisation d’une provision pour creances 
irrecouvrables. 
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La mise sous controle du risque fournisseur 

La prevention du risque approvisionnement (rupture d’ appro visionnement ou non- 
qualite dans 1’ approvisionnement) passe par une reflexion plus generate sur les filieres 
d’ approvisionnement a risque et sur les processus a risque eventuellement portes par 
des foumisseurs captifs. 

La mise en oeuvre d’une strategic de risk management efficace en termes de maitrise 
du risque approvisionnement peut se traduire eventuellement par un conflit 
d’objectifs privilegiant la strategic de partenariat avec les foumisseurs. 

Une reflexion strategique du risque approvisionnement doit aussi faire reflechir le 
risk manager sur le role et l’importance des foumisseurs captifs. Ainsi, dans le refe- 
rentiel IFRS, ces demiers sont assimiles dans la norme IAS 24 ( related parties) a des 
entites relevant du perimetre de consolidation comptable du groupe, alors qu’il 
n’existe aucun lien capitalistique entre le groupe industriel et le fournisseur strate- 
gique. L’objectif de 1’IASB (International Accounting Standard Board), lorsqu’il a 
produit cette norme, est de faire ressortir en communication financiere le risque que 
le groupe prend a se concentrer sur un monofournisseur strategique et, a l’inverse, 
de mettre en exergue le risque de dependance du fournisseur vis-a-vis du groupe. 
Ce risque encore plus majore et mis en exergue dans le cas de creation de SPE 
(special purpose entreprise) ou de SPV (special purpose vehicule), montages juridiques et 
contractuels ad hoc visant a deconsolider les stocks du bilan du groupe industriel. 

Controle preventif du risque fournisseur 
Controle interne et gestion de crise 

La prevention du risque approvisionnement passe tout d’abord par la mise en oeuvre 
d’un dispositif de scoring fournisseur (financier et strategique) et par une demarche 
de veille de foumisseurs de substitution par typologie d’ approvisionnement. 

Du point de vue de la reflexion preventive portant sur la simulation de scenarii de 
crise, il est envisageable de prevoir, dans le cadre de la mise en oeuvre de plans de 
reprise d’activite, d’associer certains foumisseurs a cette mise en oeuvre (via des 
clauses de back-up ou les foumisseurs s’engageront a porter une partie du cout de 
possession des stocks en cas de sinistre majeur). 

Controle financier 

La mise en oeuvre d’un financier efficace portant sur le risque fournisseur passe par 
trois leviers d’ action : 

• transfert via programme d’ assurance a l’international : peut se materialiser par la 
souscription dans le cadre d’un programme du type souscription locale des risques, 
ou umbrella, ou master policy, d’une clause « carence de foumisseurs » consecutive 
ou non consecutive a un dommage materiel ; 

• transfert via clause de back-up signee par les foumisseurs captifs : formalise via une 
clause de mise a disposition de ressources logistiques (le groupe devra verifier, via 
audit de site, l’existence reelle des capacites logistiques de stockage proposees par 
le fournisseur) ; 
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• transfert contractuel hors assurance : via le choix de clauses d’Incoterm, par exemple, 
limitant le risque foumisseur a l’intemational, ou via l’introduction de clauses de 
penalites de retard en cas de rupture d’ appro visionnement imputable au foumisseur. 

Controle curatif 

Controle interne et gestion de crise 

En cas de sinistre maximum possible, le groupe industriel activera son plan de conti - 
nuite des processus critiques et cherchera soit a redeployer les flux logistiques a 
1’ international sur des usines non sinistrees ou a faire porter le cout de possession des 
stocks sur les foumisseurs ayant signe les clauses de back-up. 

Controle financier 

En cas de rupture d’ appro visionnement substantielle, le recours a cet outil se traduira 
par une indemnisation assurance des pertes d’ exploitation generees par cette rupture, 
quelle qu’en soit la cause (causes imputables aux foumisseurs, ou causes exogenes, 
tefles que greve des transporteurs, par exemple). 


La mise sous controle du risque politique 

Le risque pobtique peut se materialiser soit par : 

• le risque de ne pas recuperer des flux a l’international du fait d’un blocage de 
retrocession de devises par une banque centrale d’un pays en developpement ; 

• le risque de destmction d’un actif par une guerre civile, mihtaire ou par la nationa- 
lisation de 1’ outil de production. 

Du point de vue du referentiel IFRS, ce risque est deja integre a la source via la 
segmentation par zone geographique a l’intemational d’une part, et via la prise en 
compte d’un risque pays dans l’integration du calcul du CMPC 1 d’autre part. De 
surcroit, la duree d’usage des business plans concemant ces pays a risque s’avere etre 
beaucoup plus courte que la duree des business plans dans les pays relevant de l’OCDE. 

Controle interne et gestion de crise 
Protection des expatries et des autochtones 

Elle passe par la mise en oeuvre de plans d’urgence et d’evacuation des expatries 
specifiques de concert avec les consulats et ambassades locales, ainsi que par des 
dispositifs specifiques de protection des expatries (gardiens parfois armes). 

Protection des actifs 

La protection des actifs se traduit par la mise en oeuvre de dispositifs specifiques 
(gardes armes, locaux hautement securises). 


1 . Cout moyen pondere du capital : cout moyen de constitution des ressources financiers a plus 
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Controle technique 

Protection des expatries et des autochtones 

La protection des expatries passe en general par un cloisonnement des expatries dans 
des quartiers de haute securite et par l’accompagnement des salaries en contexte 
securise par des gardes rapprochees. 

Protection des actifs 

Elle se materialise par des investissements de securite (locaux et logements proteges). 

Controle financier 

Protection des expatries et des autochtones 

Elle se materialise par la souscription de police d’ assurance collective en cas de 
dommages corporels affectant le personnel ou par la souscription de polices respon- 
sabilite civile. 

Protection des actifs 

Elle se traduit par la souscription d’une multirisque industrielle via un programme 
international d’ assurance venant completer un programme de type « souscription 
locale des risques ». 


La mise sous controle du risque humain 

La definition du terme « risque humain » est a geometrie variable. 

En France, du fait de l’existence d’un systeme de repartition, la definition de ce 
concept se limite aux cas suivants : 

• accidents du travail ; 

• incapacites ; 

• deces consecutif a un accident du travail ; 

• maladies professionnelles. 

Dans les pays anglo-saxons, ou le systeme de capitalisation predomine, la definition 
du terme « risque humain » est beaucoup plus large et integre les cas de figure 
suivants : 

• maladie ; 

• chomage ; 

• maternite ; 

• retraite. 

Le financement de ces risques ne releve pas comme en France de contraintes regie - 
mentaires (systemes a cotisations definies), mais d’un choix contractuel (prestations 
definies) correspondant a des avantages accordes au personnel. 
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Controle interne du risque humain 

Se traduit par la mise en oeuvre de procedure de securite des personnes associees a la 
mise en oeuvre des plans d’ organisation interne des secours. 

Controle financier du risque humain 

Se traduit par la souscription de polices d’ assurance collectives, couvrant a minima le 
risque de deces en contexte professionnel, voire le financement du risque retraite et 
autres avantages au personnel via des systemes de capitalisation. Dans ce dernier cas 
de figure, il existe deux grands systemes : 

• unfunded plan : dans ce cas de figure, la gestion des actifs subordonnes est confiee a 
un assureur tiers, qui a une obligation de realiser les tests de depreciation pour 
s’assurer de la performance des actifs en representation de la provision pour avan- 
tages au personnel ; 

• funded plan : dans cette configuration, la gestion des actifs est portee par une filiale 
domiciliee dans un pays beneficiant d’une fiscalite avantageuse. 

Le groupe a alors l’obligation de porter le risque actuariel, c’est-a-dire qu’il doit 
verifier que les actifs subordonnes couvrent l’engagement porte au passif (principe 
du corridor, ou l’ecart entre l’actif et le passif ne peut depasser 10 %). 

La realisation du risque se traduit par la cession d’actifs permettant le remboursement 
du sinistre. 


La mise sous controle du risque social 

La gestion du risque de greve est un scenario complexe a simuler car il est, dans le 
cas precis du management de la greve interne, generateur d’un conflit d’objectifs. 

En effet, il s’agit de concilier deux objectifs en apparence antagonistes : 

• assurer la continuite des processus strategiques de l’entreprise ; 

• respecter le droit de greve en tant que droit constitutionnel. 

Controle preventif du risque social 

La mise sous controle du risque social peut avoir pour objectifs de : 

• mettre sous controle un risque de greve interne a l’entreprise ; 

• mettre sous controle un risque de greve exteme ou plus exactement en limiter les 
consequences pour le groupe ; 

• anticiper un scenario de crise mixant a la fois greves interne et externe. 

Traitement du risque social interne 

A ce niveau, il s’avere essentiel de differencier le role de la direction des relations 
^ sociales, qui se chargera de la mediation permettant de sortir de la crise, et le role du 
J risk manager visant a proteger en priorite les homines cles, les actifs strategiques et 
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de redeployer les processus critiques des sites operationnels sur des entites n’etant pas 
en greve. 

Controle interne et gestion de crise 

En cas de situation de greve paralysant l’activite d’un site industriel de facon substan- 
tielle, l’objectif du risk manager est d’identifier a titre preventif les elements 
suivants : 

• actifs strategiques non dupliques qu’il faudra proteger en priorite d’eventuels actes 
de vandalisme ; 

• hommes cles non grevistes, dont salaries de nationalite etrangere ne relevant pas 
du droit du travail local ; 

• processus critiques a redeployer ou proteger en cas de greve (deployment des flux 
logistiques a l’international, protection des actifs et des hommes cles, protection du 
cash management et du cash pooling, etc.) ; 

• mise en prealerte du plan d’urgence sur des sites industriels a risque (en cas de 
derapage de la greve et d’actes de vandalisme eventuels). 

Le role du risk manager est sensible dans ce type de scenario, car il doit conjuguer 
des elements qui, en fait, sont des conflits d’objectifs, a savoir : le maintien du droit 
de greve avec continuite de l’exploitation des processus critiques du site sinistre. 

Controle technique 

Dans le cas de sites industriels du type risques hautement proteges, le risk manager 
peut envisager d’engager des moyens preventifs specifiques a ce type de scenario de 
crise, qu’il pourra aussi activer dans le cadre d’autres scenarii de crise (du type 
atteinte a l’environnement) : duplication des portiques d’acces, etc. 

Controle financier 

La couverture du risque de greve interne est toujours un sujet sensible qui pose obli- 
gatoirement la question de l’adequation du management et la qualite de la strategic 
de gestion des ressources humaines. L’indemnisation par les techniques d’ assurance 
classique s’avere done peu envisageable. II faut lui preferer le recours a des finance - 
ments alternatifs que nous avons deja evoques. 

Traitement du risque social externe 

La mise sous controle du risque de greve exteme est un scenario frequent en France, 
pouvant etre conjugue avec un scenario social interne (greve de La Poste, des trans- 
porteurs, etc.). 

L’objectif ne consiste pas a supprimer le risque mais a en limiter les consequences 
fmancieres sur l’entreprise sinistree. 

Controle interne et gestion de crise 

L’objectif du risk manager est de minimiser l’impact d’une greve affectant les flux 
logistiques amont et/ou aval en dupliquant : 

• les transporteurs, les modes de transport (multimodal plutot que mono-modal) ; 
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• les flux logistiques associes au courrier (recours preventif a des societes de 
messagerie). 

La reponse a la mise sous controle de ce type de risque ne reside pas forcement dans 
le management des risques. 

Elle peut parfois etre apportee par une conception de la strategic generate. 

Ainsi, il y a une dizaine d’annees, une compagnie d’ assurances a forme mutualiste 
a eu a subir de plein fouet les consequences d’une greve postale substantielle a une 
periode de l’annee ou la majeure partie des appels de cotisations etait bloquee par 
la greve et les reglements effectifs etaient eux-memes bloques au niveau du cour- 
rier en attente. 

La situation de crise passee, les dirigeants se sont pose la question des causes de sa 
gravite (entre autres pour la tresorerie du groupe). De fait les appels de cotisations 
etaient concentres sur la fin de l’annee en raison d’une souscription des polices au 
l er janvier de chaque exercice. De plus, les reglements etaient peu mensualises, et le 
recours au reglement par virement non systematise. 

Les choix preventifs a mettre en oeuvre s’averaient evidents : 

• souscription des nouvelles polices etalees sur l’annee ; 

• reglement des cotisations mensualise par prelevement. 

Controle technique 

Le risk manager doit anticiper les consequences d’une greve des transporteurs sur les 
stockages a risque (secteur de la chimie, par exemple). II se doit done d’evaluer le 
niveau de stock de securite necessaire pour prevenir tout risque eventuel 
d’explosion, et de prevoir une mise en prealerte des sites possedant des installations 
classees a risque. 

Controle financier 

II est souhaitable de prevoir la souscription d’une police perte d’ exploitation 
couvrant la clause « carences de fournisseurs », qui, comme son nom l’indique, a 
pour vocation d’indemniser le prejudice financier cause par une greve exteme. 

En tout etat de cause, l’assureur verifiera l’existence d’un plan de reprise d’activite 
logistique amont et/ou aval avant d’ autoriser la souscription d’une telle clause. 

Controle curatif du risque social 
Traitement du risque social interne 
Controle interne et gestion de crise 

En cas de declenchement d’une greve partielle ou totale, le risk manager lancera la 
mise en oeuvre de la procedure « gestion de crise » de la greve. Cette demiere aura 
pour objectifs : 

• d’envoyer les salaries non grevistes sur d’ autres sites (y compris etrangers) n’etant 
pas en greve ; 

• d’ assurer la protection des actifs risques du site en greve ; 
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• de proteger les salaries grevistes et non grevistes (risques de conflits entre les deux 
typologies) ; 

• d’envoyer les cadres cles intervenant sur les processus critiques sur des sites etran- 
gers hautement proteges (ce sont en general des cadres du groupe ressortissants 
etrangers non soumis au droit du travail francais) . 

Controle financier 

II sera possible d’activer des ressources financieres si le groupe a souscrit avant 
sinistre la location de comptes captifs de reassurance, ou s’il possede une societe 
captive de reassurance ou le risque de greve interne a ete souscrit. 

Traitement du risque social externe 
Controle interne et gestion de crise 

En cas de declenchement d’une greve, ou de plusieurs greves extemes, la cellule de 
crise activera le dossier de gestion de crise « greve externe », dont l’objet sera : soit 
de redeployer les flux logistiques (approvisionnement) dans des pays non grevistes, 
ou d’ avoir recours a des transporteurs de substitution, ou a des moyens de transport 
dont la duplication a ete negociee en preventif. 

Controle financier 

En cas de greve externe, le risk manager declarera un sinistre a son assureur aperiteur 
en vue de faire jouer la clause « carence de fournisseurs » tout en activant le plan de 
reprise d’activite sur des sites non sinistres pour limiter l’impact financier du sinistre. 


La mise sous controle du risque alteinte a I'environnement 

La mise sous controle de ce risque est un enjeu majeur pour les groupes industriels 
RHP (risques hautement proteges) en termes de communication fmanciere. 

Ainsi, le rapport ISO 14001 (management durable de l’environnement) a souvent 
pour objectif de securiser les parties prenantes (dont les actionnaires), en demontrant 
la capacite du groupe a securiser les cash-flows en cas d’atteinte a l’environnement 
majeure. 

Mise sous controle preventif du risque atteinte a I'environnement 
Controle interne et gestion de crise 

Les groupes industriels a risque environnemental majeur sont soumis a une obliga- 
tion de communication specifique vis-a-vis des riverains (communication sur les 
risques majeurs). 

L’ objectif de cette communication preventive est de donner des instructions aux 
riverains du site industriel a risque en cas de materialisation des risques (doivent-ils 
evacuer ou, au contraire, se confiner en fonction des messages d’alerte envoyes ?). 
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Cette communication de crise environnementale preventive est associee a deux 
autres outils de gestion de crise, a savoir : 

• le plan de reprise d’activite permettant de redeployer les processus critiques du site 
sinistre sur d’ autres usines non affectees ; 

• le plan d’urgence (plan d’ organisation interne des secours) expliquant les modalites 
de gestion du sinistre en lui-meme. 

Controle technique 

Le controle technique decrit 1’ ensemble des investissements de securite et des 
charges d’ exploitation engages au titre de la securite atteinte a l’environnement : 

• doubles cuves de retention ; 

• station d’epuration ; 

• plan de tests environnementaux ; etc. 

Controle financier 
Transfer t par assurance 

Les consequences du risque atteinte a l’environnement sont essentiellement 
couvertes par la souscription d’une police d’ assurance responsabilite civile generale 
et professionnelle. 

Cependant, compte tenu de l’importance des capitaux pouvant etre engages, les 
capitaux traditionnellement souscrits dans ce type de programme se revelent insuffi- 
sants. II s’avere done indispensable d’ avoir recours a d’autres montages ayant pour 
objectif de proteger la surface financiere du groupe en cas de realisation du risque. 
Ainsi, l’entreprise peut souscrire en complementant une police Assurpol 1 , ayant 
pour objectif de monter en puissance les capitaux souscrits, entre autres, sur des 
risques de pollution chronique. 

Si ce montage ne suffit pas, il convient alors d’envisager un autre montage relevant 
de l’ingenierie des risques. 

Transfert par financements alternatifs 

Le risk manager peut avoir recours, ou peut developper, un programme multi-field, 
multi-yield completant le transfert a 1’ assurance au niveau des capitaux, et assurant 
une protection financiere de fafon pluriannuelle. 

II peut, par exemple, prevoir de souscrire un compte captif de reassurance en vue 
d’autofmancer la franchise de la pobce responsabilite civile (l re hgne), de financer les 
risques de 2 e hgne via un assureur tiers fronteur, d’indemniser les risques de 3 e Hgne 
via l’assureur aperiteur de la mere (dans le cadre de la souscription d’une umbrella 
policy ou d’un master coordinated program), de financer les capitaux de 4 e hgne via le 
recours a une captive de reassurance. 

f Attention ! Dans ce dernier cas de figure, la captive de reassurance doit avoir signe 
o des traites de reassurance de type stop loss hmitant sa responsabilite a des capitaux 

§ hmites en cas de sinistre majeur. 

a 


1. Assurpol : groupe d’interet economique europeen finanijant des risques de pollution chronique. 
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En effet, en 5 e ligne, le risk manager peut avoir recours a la reassurance financiere en 
souscrivant a la Bourse de commerce de Chicago une option pollution, par exemple. 

Mise sous controle a titre curatif 
Controle interne et gestion de crise 

En cas de realisation du risque atteinte a l’environnement, la cellule de crise adopte 
alors le plan d’urgence (a l’un de ses trois niveaux de gravite : POI, PPI, plan 
d’urgence), les plans de reprise d’activite et la communication de crise, tant interne 
qu’externe. 

Controle financier 

Le risk manager fera jouer 1’ ensemble des indemnisations prevues dans le cadre du 
programme multi-yield, multi-field, et aura recours a la cession des actifs titrises en ce 
qui conceme le recours a la reassurance financiere protegeant ainsi la remuneration 
de ractionnaire. 


La mise sous controle du risque incendie 

Mise sous controle du risque IARD (incendies, autres risques divers) 
a titre preventif 

Controle interne et gestion de crise 

Le controle interne se caracterise par la redaction de procedures de securite incendie 
et par la procedure de gestion de crise devant etre testees regulierement. 

Controle technique 

II se materialise a la fois par des depenses engagees au titre de la securite (controle 
securite et prevention incendie certifie par des organismes de controle technique) et 
par des investissements engages au titre de la securite incendie ( sprinklage de l’usine, 
controle des acces, etc.). 

Controle financier 

II se traduit par la souscription d’une police d’ assurance multirisque industrielle 
couvrant 1’ ensemble des dommages materiels pouvant etre generes par un incendie 
et par la negotiation de clauses de back-up avec des fournisseurs et des sous-traitants 
captifs capables de porter des processus critiques en cas d’incendie. 
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Chapitre 3 

Le dispositif de business risk management 

Le dispositif de business risk management se fixe pour objectif de securiser l’elabo- 
ration des previsions dans le domaine de la strategic et de la maitrise des risques 
financiers speculates (change, interet, etc.). 


La mise sous controle des risques financiers 

La mise sous controle des risques financiers passe par l’utilisation d’instruments 
financiers par les tresoriers groupe ou les directeurs financiers en vue de generer des 
plus-values ou d’aboutir a un impact financier nul (recours a des options futures, 
swap, etc.). II s’agit bien de mettre en oeuvre a ce niveau des outils de mise sous 
controle de risques speculates ne relevant pas d’une demarche classique du corporate 
risk management. 


La mise sous controle des risques strategiques 

La mise sous controle des risques strategiques passe par la construction de deux 
dispositifs complementaires : 

• la securisation de l’elaboration de la strategic par unite d’affaires via la methodolo- 
gie du balanced scorecard ; 

• la securisation de la qualite et de la sincerite des previsions budgetaires sur lesquel- 
les vont se fonder les versements d’acomptes sur dividendes, via les methodologies 
d’ elaboration de business plan et de revision de business plan. 

Pour rappel, f objectif du corporate risk management consiste a venir tester la resis- 
tance du business model mis en oeuvre sur chaque unite d’affaires en demontrant que, 
dans tous les cas de figure, les objectifs strategiques seront atteints, et que le groupe 
sera capable d’honorer la remuneration de l’actionnaire. 

La securisation de I'elaboration des plans strategiques 
via la methodologie de la carte de performance 
De la segmentation strategique... 

La construction d’un business model passe par une etape prealable qui correspond a la 
segmentation strategique du groupe par unite d’affaires. Au sens de la norme 
IAS 14, un groupe industriel doit proceder a une double segmentation : 

• par business unit (BU) / branche d’activite : 

- possede son propre bilan et compte de resultat (actif identifiable et passif identifiable), 

— le CA par unite d’affaires (BU) au moins egal a 10 % du CA consolide, ou 10 % 
du resultat operationnel, ou 10 % de l’actif identifiable, 
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— le CMPC (cout moyen pondere du capital) est different par unite d’affaires, 

— existence du critere de l’independance par BU (f arret d’une BU ne doit affecter 
ni les processus ni les performances fmancieres des autres BU), 

- possibilite de prix de transfert inter-BU, s’ils sont marginaux et ne remettent pas 
en cause le principe de fautonomie strategique ; 

• par zone geographique/monetaire : 

- avec existence d’une segmentation en fonction du niveau du risque politique 
ou par technique de controle du risque de change. 

WACC different pour chaque zone geographique et correle a 1’evaluation du 
risque politique. 

L’lASB (International Accounting Standard Board) a introduit une vision tres 
tournee vers l’integration d’une approche risk management en proposant une telle 
logique de segmentation strategique. En effet, en proposant le critere de l’auto- 
nomie strategique, 1’IASB valide la maxime « diviser pour mieux regner » en creant 
des « compartiments etanches » au sein des groupes, ayant une autonomie strate- 
gique propre et dont 1’ arret d’activite ne doit affecter ni les processus ni les perfor- 
mances financieres des autres unites d’affaires du groupe. 

De meme, lorsque 1’IASB demande explicitement de majorer le CMPC d’un facteur 
de risque politique, et d’isoler en communication financiere les zones geographiques 
a risque politique majeur, il recommit explicitement le droit de regard que doivent 
avoir les actionnaires sur les choix strategiques du conseil d’ administration, et l’impact 
de ces choix sur leur remuneration. Ces choix sont acceptables si bien evidemment le 
top management a la capacite de demontrer en communication financiere la capacite 
du groupe a mettre effectivement sous controle le risque politique (guerre civile, 
militaire, expropriation, nationalisation, etc.). 

... a la construction de carte de performance par BU et zone geographique 

La demarche du balanced scorecard a pour objectif que le comite executif se donne les 
moyens de ses ambitions, lorsqu’il elabore le plan strategique de chacun de ses metiers. 
L’ objectif de cette methodologie est de s’assurer qu’il existe des processus recurrents 
et des projets dedies permettant de s’assurer avec certitude de l’atteinte des objectifs 
decrits dans le plan. Bien entendu, la demarche du corporate risk management aura 
pour objectif, pour chaque business model construit via la methodologie du balanced 
scorecard, de jouer le role de « l’avocat du diable » en se posant la question suivante : 
« Que se passerait-il si... ? » (de facon imagee : que se passerait-il si je mettais le 
doigt dans l’engrenage ? Quelle est la resistance du business model face a une situation 
de crise majeure ? Le groupe existera-t-il encore suite a cette situation de crise ?). 
Les demarches de planification strategique classiques ne sont pas habituees a deve- 
lopper de tels raisonnements. Dans l’approche classique de planification (diagnostic 
interne et externe, forces et faiblesses, contraintes et opportunites, preconisations 
strategiques), il est sous-entendu que, forcement, les objectifs strategiques decrits 
dans le plan seront forcement atteints ! 
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La demarche du corporate risk management vient done bouleverser ce schema 
methodologique en forcant les planificateurs a se poser les bonnes questions, et a 
identifier les risques significatifs pouvant empecher l’atteinte des objectifs officiels 
decrits dans le plan a moyen terme. 

La construction d'une carte de performance par BU integrant la dimension 
corporate risk management 

L’approche methodologique du balanced scorecard se concentre sur la mise sous 
controle des risques strategiques du type speculates. 

De notre point de vue, la construction d’un veritable modele strategique se doit 
d’integrer la demarche risk management a la source en identifiant, des la phase 
projet, les zones de rupture du business model. 

Ainsi, a titre illustratif, il s’avere indispensable : 

• d’identifier les processus critiques qui, en cas de dysfonctionnements, pourraient 
remettre en cause la perennite du groupe (simulation des plans de retrait des pro- 
duits pour un groupe pharmaceutique ou agroalimentaire, dysfonctionnement 
total de l’exploitation informatique pour un groupe bancaire, etc.) ; 

• de prevoir les indicateurs de prealerte pouvant faire penser que le groupe passe 
d’une situation normale a une zone de risque potentiel (nombre de reclamations 
cbents anormalement eleve pouvant faire penser a l’existence d’un dysfonction- 
nement du processus de controle quahte) ; 

• de s’assurer de l’existence des outils indispensables a la protection financiere, a la 
protection de l’image de marque et des parts de marche, et, en cas d’inexistence, a 
les embarquer dans la construction de la carte de performance. 

L’objectif est done de passer d’une approche classique du balanced scorecard a une 
approche elargie de la demarche ( executive scorecards ) s’assurant que tant les risques purs 
que speculates sont effectivement mis sous controle et que le dispositif de creation de 
valeur mis en oeuvre par le groupe ne pourra en aucun cas etre affecte. 

La securisation de I'elaboration des business plans et de la revision 
des business plans 

L’lASB a construit dans le cadre conceptuel IFRS un schema d’ organisation strate- 
gique des entreprises tres structure. 

Au meme titre qu’il s’est prononce sur les criteres de segmentation et de reporting 
strategique, 1’IASB a construit un dispositif d’elaboration des business plans et de revi- 
sion de ces demiers au niveau des unites generatrices de tresorerie (UGT). 

Ces demieres represented un sous-ensemble d’actifs (outil de production et BFRE 
associe) dont la finalite est de generer des cash-flows positifs ; chaque UGT etant 
forcement rattachee a une unite d’affaires. 

Les immobdisations peuvent etre activees (e’est-a-dire figurer a l’actif du bilan en 
tant qu’immobilisation) si le business analyst est capable de demontrer la rentabilite 
previsionnelle de chaque UGT. 
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Pour repondre a ces criteres d’ activation, le business analyst doit elaborer un business 
plan sur la duree d’usage, c’est-a-dire sur la duree d’utilisation prevue de ce sous- 
ensemble d’actifs. 

La projection de ce business plan sur le futur presuppose done d’etablir un principe de 
prudence et de sincerite dans 1’ elaboration de ce dernier, qui de surcroit est soumise 
a l’approbation des commissaires aux comptes. 

L’ elaboration sincere d’un business plan se doit d’integrer a la base : 

• la dimension business risk management (par l’integration de l’application de taux de 
croissance decroissants dans l’estimation du CA, qui, de surcroit, doit obligatoi- 
rement etre fondee sur une etude de marche). L’objectif, dans ce cas de figure, est 
de s’assurer du principe de prudence dans 1’ elaboration des cash-flows previsionnels 
sur toute la duree d’usage du business plan. En effet, l’unite generatrice de tresorerie 
est une composante cle du dispositif budgetaire, puisque les previsions de cash- 
flows synthetises dans l’etat de variation des flux de tresorerie ne sont que la conso- 
lidation des previsions realisees a ce niveau. La qualite des previsions de flux de tre- 
sorerie previsionnels conditionne la politique de dividendes previsionnelle, et ce, de 
fapon tres sensible si l’entreprise verse des acomptes sur dividendes. Le processus de 
securisation des cash-flows previsionnels au niveau UGT est done un element cle 
de la strategic de business risk management, puisque, en cas d’erreur affectant ce 
processus, les consequences financieres peuvent etre majeures pour le groupe (ver- 
sement d’acomptes sur dividendes generant des insufhsances de tresorerie) ; 

• la dimension corporate risk management (par l’integration de la notion de compo- 
santes et par l’analyse de l’impact de chaque composante sur les cash-flows previ- 
sionnels). Ainsi, la composante investissement de securite ou pieces de rechange 
aura pour objectif de securiser les cash-flows. 

L’approche conceptuelle developpee par 1’IASB est tres interessante puisqu’elle 
impose de s’interroger sur les hens existant entre les composantes constitutives de 
l’outil de production, les processus metiers et les flux de tresorerie generes par les 
activites. 

Ainsi, la mise sous controle en termes de securite des composantes constitutives de 
l’UGT integrant des biens sous controle (en propriete, credit-bail, en location, 
confies, en concession ou affermage) permet de s’assurer de la protection des cash- 
flows previsionnels a la base de la creation de valeur pour le stakeholder (preneur de 
risques) . 

Par voie de consequence, la construction d’un dispositif de corporate risk mana- 
gement efflcace doit se concentrer sur cette typologie de centre de risque a la fois en 
termes de controle technique, mais aussi en termes de gestion de crise. 

De fait, les plans d’urgence ainsi que les plans de continuite d’activite, ou les plans de 
retrait des produits, se doivent d’etre concus au niveau de chaque UGT, puisque, 
par definition, une UGT regroupe tant des immobilisations sous controle que des 
immobilisations incorporehes (marques commerciales achetees ou activation des frais 
de developpement sous forme d’une marque) . 
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Exemple de business blan par unite generatrice de tresorerie 


BU recoltes 











UGT SBU herbicides 






















Business plan 
par UGT 











UGT herbicides 











BU recoltes 

phase R&D 


phase cycle de vie 






1 

2 
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4 

5 
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UGT 






















Activitation des frais 
d’etudes 




13 300 







Marque commerciale 






















Immobilisations cor- 
porelles par compo- 
santes machine-outil 















30 000 







Pieces de rechange 




4 000 



5 000 




Investissements 
de securite 




5 000 


















BFRE 




4 500 

4 600 

4 700 

4 800 

4 900 

5 000 

5 500 












Somme des actifs 




56 800 

4 600 

4 700 

9 800 

4 900 

5 000 

5 500 

Identifiables de I’UGT 
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Business plan 
par UGT 











UGT herbicides 











BU recolte 

phase R&D 


phase cycle de vie 






1 

2 

3 

4 

5 

6 

7 

8 

9 

10 












Cash-flows bruts 

-2 300 

-4 000 

-7 000 

15 200 

18 131 

25 105 

28 814 

32 622 

39 102 

43 128 

Cash-flow brut 
cumule 

-2 300 

-6 300 

-13300 

1 900 

20 031 

45 136 

7 350 

106571 

145 673 

188801 

Cash outflows 

2 300 

4 000 

7 000 

7 300 

7 519 

7 745 

7 977 

8 216 

8 463 

8 717 

Frais d’etude 

2 300 

4 000 

7 000 



















Activation au jalon 

































Charges d’exploita- 
tion decaissables 

0 

0 

0 

7 300 

7 519 

7 745 

7 977 

8 216 

8 463 

8 717 

Frais de supervision 
de la production 




1 300 

1339 

1 379 

1 421 

1 463 

1 507 

1 552 

Mod 




2 300 

2 369 

2 440 

2 513 

2 589 

2 666 

2 746 

Achats directs 




2 400 

2 472 

2 546 

2 623 

2 701 

2 782 

2 866 

Promotion directe 




1 300 

1 339 

1 379 

1 421 

1 463 

1 507 

1 552 























Cash inflows 

0 

0 

0 

22 500 

25 650 

32 849 

36 791 

40 838 

47 564 

51 845 

CA 




22 500 

25 650 

32 849 

36 791 

40 838 

47 564 

51 845 












Taille du secteur 




5 000 

5 700 

6 441 

7214 

8 007 

8 808 

9 601 

Part de marche 




0,3 

0,3 

0,3 

0,3 

0,3 

0,3 

0,3 

Prix unitaire HT 
en K€ 




15 

15 

17 

17 

17 

18 

18 

Taux de croissance 
decroissant 




0,15 

0,14 

0,13 

0,12 

0,11 

0,1 

0,09 












WACC 




0,08 

0,08 

0,08 

0,08 

0,08 

0,08 

0,08 

DS= J 
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Business plan 
par UGT 











UGT SBU herbici- 
des 











BU crop protec- 
tion 

phase R&D 


phase cycle de vie 






1 

2 

3 

4 

5 

6 

7 

8 

9 

10 












VAN de I’UGT 











Coef 

d’actualisation 

0,9259 

0,8573 

0,7938 

0,735 

0,6806 

0,6302 

0,5835 

0,5403 

0,5002 

0,4632 

Somme actualisee 
des cash-flows 

-2 130 

-3 429 

-5 557 

11 172 

12 340 

15 820 

16813 

17 625 

19 561 

19 977 

Somme actualisee 
de I’actif identifiable 

0 

0 

0 

41 750 

3 130,7 

2 961,8 

5718,2 

2647,3 

2 501,2 

2 547,6 




Chapitre 4 

Mettre en oeuvre le dispositif risk management 
et communiquer sur son efficacite 

Dans le cadre d’une etude d’opportunite ou de conformite, la mise en oeuvre d’un 
dispositif de risk management se doit de repondre a un certain nombre de 
questions : 

• Pourquoi mettre en oeuvre un dispositif de risk management (raisons officielles et 
officieuses) ? 

• Comment construire un dispositif efficace ? 

• Comment communiquer sur 1’efEcacite du dispositif de management des risques 
(medias, cibles, contenu) ? 


Les raisons de la construction d'un dispositif 
de risk management efficace 

S'adapter aux evolutions de la gouvernance d'entreprise 
et aux exigences du marche 

En resume, il existe au moins deux facons d’aborder la mise en oeuvre d’un dispositif 
de risk management. 

La premiere est de nature defensive et consiste a mettre en oeuvre un dispositif 
permettant de faire face aux obligations fixees par la loi ou par les pratiques usuelles 
du metier. La stricte reference aux regies juridiques aboutit ainsi a construire un 
dispositif de risk management et a le faire respecter autant que possible en interne, 
voire par les sous-traitants et autres foumisseurs, et d’une fa$on generale par les 
parties prenantes. 

Encore faut-il preciser qu’il existe rarement une consolidation generale de 
l’ensemble du corpus reglementaire qui s’impose a un groupe industriel : reglemen- 
tation financiere et fiscale, reglementation du travail et de la securite, reglementation 
environnementale, reglementation sanitaire, reglementation produits et services, etc. 
La seconde approche est plus dynamique : elle part du principe que le risk manage- 
ment n’ est jamais qu’un des moyens de la politique de maitrise des risques divers et 
varies qui s’imposent a l’entreprise. 

Cette difference d’ approche traduit d’une certaine maniere le choix entre compliance 
(« conformite legale ») et volonte de mise sous controle effective de risques significa- 
2 tifs. Le risk manager se trouve etre a la fois le gardien du temple en charge de l’appli- 

© cation de regies contraignantes et le business partner de la direction generale porteur 

des projets de developpement de l’entreprise. 
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Une telle dichotomie avait d’ailleurs ete relevee par le senateur Marini dans son 
rapport du 27 juillet 2004 sur la premiere annee d’ application de la loi de securite 
financiere (LSF) de 2003. Elle se retrouve adoptee par les entreprises a l’egard du choix 
pris en matiere de communication externe sur les risques : le rapport du president sur 
le dispositif de controle interne prevu par la LSF. Au bout d’une annee d’ application, 
le senateur ecrivit le commentaire suivant (qui se suffit a lui-meme) : 

« II n’est pas acceptable, a cet igard, que pres des deux tiers des rapports examines par le 
cabinet Deloitte ne contiennent aucun detail concernant les risques encourus par la societe. Il est 
egalement inquietant que seulement un pen plus d’un tiers des entreprises etudiees indiquent 
comment les risques sont geres d’un point de vue organisationnel. » 

A cette carence s’ajoutait une divergence de vues entre les pouvoirs publics et 
l’AMF sur l’orientation du rapport du president sur le controle interne : evaluatif ou 
descriptif ? La aussi, le distinguo en dit long sur l’accueil reserve au nouveau texte. . . 
« II ne s’agit naturellement pas de demander a l’entreprise de proceder a une autocritique qui 
pourrait avoir des effets destructeurs. H s’agit d’encourager I’adoption d’une perspective dyna- 
mique orientee vers le progres, plutot quefigee sur I’existant. » 

Aujourd’hui, il faut constater les progres accomplis, a force de pedagogie et peut- 
etre d’une moindre crainte sur l’etendue de la responsabilite penale et civile des diri- 
geants face au dispositif de risk management. Mais sont-ils suffisants pour faire du 
risk management un moyen et non une fin ? Il y a done un debat a nourrir et une 
question cruciale a trancher. 

S'adapter aux exigences du marche 

Le risk management et surtout la communication qui va etre faite sur son efficacite 
sont des elements de differentiation strategique. 

En effet, une communication financiere securisante sur la mise sous controle effec- 
tive des risques significatifs et des processus critiques du groupe industriel ainsi que 
sur le management durable de l’environnement s’avere un element de securisation 
de l’ensemble des parties prenantes (actionnaires, investisseurs, etc.), mais aussi des 
autorites de tutelle (AMF, commission bancaire, etc.), des agences de notation et des 
analystes financiers. 

Elle peut induire des evolutions de parts de marche, d’impact sur l’image en fonc- 
tion de la maitrise effective du dispositif de management des risques. 

Securiser les objectifs strategiques par un dispositif 
de risk management efficace 

L’un des objectifs majeurs du risk management est de s’assurer de l’existence d’un 
alignement entre processus de l’entreprise, risques et objectifs strategiques pouvant 
etre formalise via une carte de performance associant la dimension management des 
risques. 

L’objectif de cette derniere est de s’assurer de l’existence de processus ou de projets 
specifiquement dedies a l’atteinte des objectifs, dont les objectifs financiers. 

Cette approche vise a garantir la protection du business model via le dispositif de 
management des risques. 
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Comment mettre en oeuvre un dispositif de risk management 
efficace 

L’ evolution dans la mise en oeuvre d’un dispositif de risk management va fortement 
evoluer en passant d’une obligation de moyens a une obligation de resultats. 

II ne s’agit plus simplement de decrire l’existence d’un dispositif de risk management 
mais d’etre capable d’en evaluer l’efficacite. 

Organiser le processus de risk management et positionner les proces- 
sus de pilotage au centre du dispositif 

Cela sous-entend de hierarchiser les differents risques de l’entreprise par processus 
majeur et par ordre de criticite decroissante (probabilite d’ occurrence X impact 
financier pour l’entreprise), evaluation que l’on peut presenter plus commodement 
sur une echelle type Richter (de 1 a 5, ou de 1 a 10). 

II convient egalement de verifier qu’aux risques auxquels est expose le groupe 
industriel correspondent bien des objectifs du management, en clair que chaque 
risque remonte bien a un responsable qui se l’approprie en direct (notion de risk 
owner). II ne sert, en effet, a rien de mentionner dans la liste des risques que l’entre- 
prise est decidee a couvrir des « risques orphelins », i. e. correspondant a des objectifs 
non distribues a une fonction donnee (situation que l’on retrouve trop souvent dans 
des groupes industriels a forte dominante multiculturelle). 

Preambles 

S’assurer de la coherence entre les risques listes par ordre de criticite lors de la carto- 
graphic des risques et 1’ organisation de l’entreprise. II faut souligner que la facon 
d’aborder le sujet, si la societe etudiee est une societe « independante » a la diffe- 
rence d’une PME « integree » a un ensemble plus large, sera fondamentalement 
distincte, l’organisation matricielle des grands groupes et la juxtaposition des cultures 
brouillant trop souvent l’organisation du processus, selon la vision que le groupe 
industriel a du risk management. 

S’assurer ensuite que l’ensemble du personnel, a tous les niveaux de responsabilite, a 
bien perfu l’importance du sujet, a bien compris que le risk management (comme la 
securite) est 1’ affaire de tous (et le personnel a done ete briefe en consequence), et 
pas seulement une mode passagere du comite de direction, et a bien integre dans la 
duree les principes de base qui soutiendront ulterieurement l’efficience du systeme 
de risk management, a savoir : 

• l’integration de la dimension risk assessment dans toute decision prise en interne ; 

• la primaute de la fonction sur le grade, principe dont le respect sous-tend toute 
action de specialiste digne de ce nom au sein du dispositif de risk management ; 

• l’existence (et la pratique) des regies de gestion minimum minimomm. II est toujours 
surprenant de constater que nombre de procedures « de base » peuvent etre inexis- 
tantes, meme dans des filiales de grands groupes... 
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Mise en oeuvre 

Au niveau operationnel (technique, commercial, etc.) et autres niveaux fonction- 
nels, mise en oeuvre des tests specifiques a chaque fonction, et selon les risques 
majeurs identifies par ordre de criticite decroissante. 

Exemples 

• Fiabilite du materiel de production pour la direction Fabrication (programme de 
maintenance assistee par ordinateur...). 

• Simulations sur la capacite du systeme informatique a gerer l’accroissement rapide 
du nombre de clients et de leur repartition geographique. 

Le risk manager (s’il existe) se doit d’etre l’animateur et le garant de la mise en 
oeuvre d’un processus sous controle et complet, coherent avec la vision globale qu’il 
aura contribue a impulser precedemment. Exemple : chez un operateur telepho- 
nique, verifier que la composante « climat social » dans un centre d’appels (point de 
passage critique pour l’efficience globale du systeme) est bien prise en compte par 
des entretiens croises et independants (hierarchie, DRH, salaries) . 

La direction de 1’ audit interne se doit d’ organiser ses controles propres de maniere a la 
fois choisie (la ou les risques sont les plus forts), aleatoire (pour garder un minimum de 
caractere dissuasif au systeme de controle), universelle (par exemple : de petites fihales 
en dessous du seuil de materialite peuvent se reveler de veritables bombes a retardement 
lors des premieres questions de l’audit interne), et suivie (i. e. revoir systematiquement 
la meme unite tant que les resultats des audits realises ne seront pas satisfaisants). 

Liaison formelle entre les operationnels et le risk management 

• La mise en oeuvre du dispositif de risk management ne pouvant s’exercer systema- 
tiquement et exhaustivement partout (question de moyens), il est normalement 
demande aux operationnels de renseigner sur une base annuelle ou trimestrielle un 
questionnaire type, adresse (sans passer par la voie hierarchique) a la direction du 
risk management, pour que cette derniere ait une connaissance non biaisee de la 
vision des risques, telle que la ressentent les operationnels. 

• Dans un tel processus de remontee d’information, il est important que les risques 
signales par les operationnels soient resitues par le destinataire (souvent d’une 
nationabte et d’une culture differentes de l’emetteur) dans le cadre des contraintes 
reglementaires du pays emetteur. 

Definir les frontieres fonctionnelles entre direction financiere, 
audit interne, qualite et risk management 

La direction financiere : elle est au coeur de la gestion des risques. En effet, elle : 

• est la gardienne de la quabte du flux d’information financiere et de son integrite ; 

• se porte garante, dans la limite des informations dont elle dispose, de l’exhaustivite 
des informations publiees (et de celles qui ne le sont pas) ; 
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• actualise, compte tenu de revolution de la societe (technologie, rapport avec les 
tiers, organisation), le manuel des procedures de gestion et s’ assure que chacun a 
bien compris son role au sein du comite de direction. 

La direction financiere doit etre l’un des pivots de la demarche de responsabilisation 
sur les risques. 

Elle doit d’abord etablir une analyse precise et fine de la volatilite des actifs, de leur 
exposition aux risques et definir une cartographic permettant de distinguer les actifs 
a haute volatilite, notamment de nature immaterielle, et les risques critiques pouvant 
mettre en cause la perennite de l’entreprise. La difficulte tient en partie aux normes 
IFRS qui n’autorisent pas une representation comptable de certains actifs non 
soumis a des transactions, done non actives au bilan (voir IAS 38). 

Ce travail doit porter sur les projets d’investissement strategiques et plus globalement 
sur toutes les activites concourant a ces projets. La demarche est loin d’etre simple 
dans un cadre ferme d’ organisation. Elle l’est done davantage lorsque ces projets 
integrent des partenaires et des sous-traitants, pour lesquels le meme raisonnement 
devrait s’appliquer. 

En fonction de cette analyse, la direction financiere doit structurer le passif de 
l’entreprise au regard de l’exposition generale aux risques et a la volatilite des actifs, 
puis mettre en place les financements adequats et les politiques de couverture, y 
compris le transfert aux tiers (assurance, titrisation, captive, etc.). 

Cette structuration doit egalement prendre en consideration 1’ exigence de rende- 
ment des actionnaires. Cela permet d’eviter un hiatus qui peut destabiliser la direc- 
tion generale de l’entreprise. En d’autres termes, l’examen des risques globaux doit 
etre mene au sein du conseil d’ administration, afin que les arbitrages soient rendus 
en toute connaissance de cause, dans l’equilibre entre choix de rendement et risques 
acceptes. Trop souvent, comme beaucoup d’affaires et de scandales font montre, les 
actionnaires n’ont pas ete suffisamment informes des risques sous-jacents lies a des 
projets ou a des operations. Ce n’est pas uniquement une problematique de pilotage 
qui est pose, mais de niveau de risques financiers associes a des decisions. 

Pour privilegier des rendements a court terme, des impasses, dont les actionnaires 
n’ont pas ete toujours conscients, ont parfois ete prises. Cela s’est traduit par des 
incidents, des retards, des defaillances techniques ou organisationnelles qui ont 
abouti a une destruction de valeur et a une devalorisation des actifs, notamment 
immateriels : sous-equipement en matiere de puissance des systemes d’information 
conjugue a un back-up non dimensionne aboutissant a une rupture du service ; 
dissimulation de risques secondaires dans le cadre d’etude clinique ; extemalisation 
en vue de reduire les couts sans mise en oeuvre des dispositifs de controle qualite, 
etc. La liste des faits de destruction de valeur est longue. Ce sont souvent les salaries 
(restructuration), les clients (rupture d’ appro visionnement) et les foumisseurs (pertes 
de CA) qui font les frais de ces dysfonctionnements. 

Mais les prejudices les plus importants sont portes aux actionnaires. D’ou la necessite 
d’une grande transparence en matiere de politique de maitrise des risques et de 
controle associe. C’est done un element central du gouvemement d’entreprise, qui 
peut aboutir a la creation d’une commission specialisee management des risques et 
controle interne, distincte de celle orientee sur l’audit et le controle comptable. 
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La direction de l’audit interne : 

• s’assure que la politique de couverture de risques proposee par le risk manager (ou 
le comite devaluation des risques, s’il en existe un), et approuvee par le conseil 
d’ administration (CA), applicable par ordre de priorite, est bien mise en oeuvre 
telle que le CA l’a decidee ; 

• precede ou fait proceder a tout type de controle qu’elle jugerait utile ; 

• rend compte au comite d’ audit (ou au DG, en l’absence de comite d’ audit) du 
resultat des audits diligentes par les directions operationnelles et par la direction de 
l’audit interne elle-meme ; 

• verifie que les operationnels, directement en premiere ligne pour les risques qu’ils 
encourent en raison de leur qualite de dirigeant de droit ou de fait, ne sont pas 
ignores (dans leurs avertissements) en raison d’une appreciation par trop lointaine 
du comite de direction (par exemple : risques fiscaux, risques environnementaux) 
et signale au CA toute deviation a ce sujet ; 

• s’assure qu’une collusion impliquant plusieurs membres de la direction d’une filiale 
ou d’un business group n’obere pas la capacite des operationnels a agir avec tout le 
professionnalisme necessaire. 

La direction qualite : 

• elabore, en relation avec les deux directions precitees, les procedures, documents 
et calendriers necessaires a l’obtention/renouvellement des certifications apparte- 
nant a la famille des ISO 9 000 que la societe cherche a obtenir et/ou a conserver ; 

• veille a la bonne formation des utilisateurs, surtout dans des cas de forte attrition. 

Vendre le projet risk management 

Cette operation est d’autant plus importante que la societe, ou le groupe conceme, a 

les caracteristiques suivantes pendant la periode pre-risk management : 

• societe familiale ; 

• tradition orale (peu de procedures ecrites appliquees) ; 

• patron d’origine et de culture exclusivement commerciales ; 

• peu d’ exposition prealable a l’intemational ; 

• niveau d’exposition aux risques ; 

• existence de scenarii de crises anterieures ; 

• age moyen eleve ; 

• turnover peu important. 

A contrario, pour que le projet soit bien vendu, il importera : 

• que le comite de direction tout entier montre, par son exemple quotidien (separa- 
tion des taches, primaute de la fonction sur le grade, etc.), que les directeurs eux- 
memes ont « achete » le systeme, pour le plus grand bien de la societe (rigueur, 
exemplarite, respect des regies de securite, etc.) ; 
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• que les responsables du projet montrent bien a la population concemee que la 
mise en oeuvre du dispositif est engagee pour les proteger dans leur travail (limites 
de signatures et autonomie reelle precisees, etc.) ; 

• de bien expliquer aux partenaires sociaux que la qualite et la rigueur d’un dispositif 
de risk management ne constituent pas un « plus » de travail demande aux salaries, 
mais qu’ils correspondent a un standard international qui, s’il n’etait pas applique 
par l’entreprise, la mettrait rapidement hors course. 

En synthese, le dispositif de risk management ne doit plus etre positionne comme un 
processus generateur de contraintes, mais comme un agent de transformation cultu- 
relle au niveau transversal, afin de mettre du liant social entre tous les acteurs autour 
d’un meme objectif : valorisation et protection de la surface financiere de l’entre- 
prise, des actifs et des hommes. Cela permet de faire comprendre au niveau du 
terrain les contingences financieres, et non de les subir. C’est aussi la seule facon de 
gerer au mieux la complexite des processus et des situations. Respecter une regie de 
droit sans comprendre comment elle vous implique, vous et le reste du corps social, 
done l’entreprise et son devenir, est voue a l’echec, ou du moins a la baisse de la 
vigilance et done de la responsabilisation. Appliquer strictement des procedures ne 
premunit pas contre les risques incertains et cumulatifs du fait de leur interaction. 
A contrario, le recours a la capacite d’ analyse et de choix, dans un cadre collectif, 
permet de reduire certains risques, car cela instaure une ethique de responsabilite. 
Cette orientation permet aussi d’attribuer aux directions fonctionnelles un champ 
nouveau d’intervention. Les DRH sont plus ou moins en charge de risques sociaux, 
mais dans la realite, beaucoup d’entre eux leur echappent du fait de la decentralisa- 
tion operationnelle. II en est de meme pour les responsables juridiques, etc. En 
travaillant plus sur l’accompagnement pedagogique des dispositifs de risk manage- 
ment, ces directions fonctionnelles peuvent favoriser les comportements de respon- 
sabilite et assumer une part de pilotage des risques. 


Mesurer I'efficacite du risk management et arbitrer en termes 
de decision d'allocation des fonds propres 

Le risk management doit etre positionne comme etant l’outil majeur de la politique 
de maitrise des risques qui s’imposent a l’entreprise. A cette vision correspond le 
souci de definir la bonne structure financiere et le dimensionnement des fonds 
propres pour faire face aux situations pouvant mettre en cause la survie et la perennite 
de l’entreprise. S’y ajoute aussi le concept de « destruction de valeur » et de reduction 
du niveau de volatilite du cash-flow, qui aboutit a un pilotage par le cashflow at risk. 
La logique financiere comporte une dimension dynamique qui peut se resumer a la 
consigne suivante : proteger les fonds propres des actionnaires. Non seulement cette 
recommandation est coherente avec l’esprit des normes IFRS, mais elle fait de 
chaque acteur de l’entreprise, a son niveau, un element moteur de maitrise des 
risques. Chacun devient depositaire d’une partie des fonds propres et doit analyser la 
part des actifs sur lesquels il intervient, afin d’en assurer non seulement la valorisation 
(liee a la generation de cash-flow), mais aussi la protection (notion de risk owner). 
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Dans l’atelier, l’ouvrier devient responsable de sa machine et des flux futurs de 
recettes qu’efle permet. 

Cette responsabilite s’additionne a l’equipe de l’atelier, etc. Efle participe d’une gestion 
transversale qui tranche avec la vision en silo ou chacun ne regarde que son propre 
horizon. Au niveau des managers, cette responsabilite repose sur roptimisation du 
ROCE ( return on capital employed) et sur la prevention des risques divers consecutifs a 
l’utilisation de l’outil de travail et done aux processus critiques qui lui sont lies. 

Quel est l’avantage d’une telle demarche ? Aucun corpus de procedures ne peut 
prevoir l’inevitable ou l’inimaginable. Mais l’esprit bien forme, sensibilise, motive 
peut anticiper, reagir et gerer la situation, done prevenir le risque potentiel. Une 
methodologie de risk management n’est qu’un support pratique et a minima des 
consignes de securite a observer. L’ allocation individualisee d’une part de fonds 
propres et done de responsabilite d’un element d’actif est la meilleure assurance. 


Communiquer sur I'efficacite du dispositif de risk management 

La communication interne sur I’efficacite du dispositif de risk management passe par 
une definition des outils de communication ecrits et oraux a formaliser : 

• contenu des auditions des experts techniques et financiers internes par le comite 
des risques et le conseil d’ administration ; 

• modalites d’exercice de clause de confiance du directeur financier et de l’exercice 
de son droit de reserve ; 

• modalites de redaction et structuration du rapport risk management. 

Outre la question de la mesure de I’efficacite du dispositif de risk management se 
pose egalement celle des moyens devolus a ce dernier. En d’autres termes, si les 
actionnaires limitent ces moyens, ils acceptent implicitement une prise de risque 
supplementaire qui devrait etre officiellement actee dans le cadre du conseil d’ admi- 
nistration. II est difficile de vouloir tout et son contraire. D’ou l’interet de la 
demarche indiquee ex ante concernant les choix de politique financiere, au regard de 
1’ arbitrage necessaire des actionnaires concernant la structure du passif versus la vola- 
tilite des actifs et le rendement qui en decoule. 

A noter qu’un organisme de notation, tel que Standard & Poor’s, renforce son 
analyse en termes devaluation des risques des groupes cotes. Des questionnaires sont 
actuellement envoyes par S&P dans les groupes pour evaluer leur dispositif de risk 
management. Les principaux criteres analyses sont les suivants : 

• adoption d’un referentiel de risk management specifique a l’entreprise ; 

• definition des acteurs impliques dans le dispositif de management des risques ; 

• communication interne et exteme sur le dispositif de risk management ; 

• politiques de procedures de risk management et gestion de crise ; 

• influence du dispositif de risk management sur la politique de financement ; 

• influence du dispositif de management strategique sur la decision strategique. 
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Troisieme parti e 

La banque ou la compagnie 
d'assurances hors risque 


L’objectif de cette troisieme partie est de presenter : 

• les contraintes reglementaires specifiques auxquelles sont soumises les banques et 
les compagnies d’assurances ; 

• les specificites des dispositifs de risk management des banques et compagnies 
d’assurances (integrant les outils de base ainsi que les outils de gestion de crise). 



Chapitre 1 

Les contraintes reglementaires 


Les contraintes reglementaires specifiques a Bale II 

En 1988, le comite de Bale, compose des gouverneurs des banques centrales de 
treize pays de l’OCDE, publie les premiers accords de Bale, ensemble de recom- 
mandations dont le pivot est la mise en place d’un ratio minimal de fonds propres 
par rapport a l’ensemble des credits accordes, le ratio Cooke. 

Ainsi sont definies les notions de : 

• fonds propres reglementaires ; 

• et 1’ ensemble des engagements de credit. 

Ces deux notions etant rigoureusement precisees par rapport a un systeme comp- 
table (comptes concernes, ponderations eventuelles) . 

Le rapport des deux valeurs ne doit alors pas etre inferieur a 8 % dans les proposi- 
tions des accords de Bale. 

II est a noter qu’il ne s’agit que de recommandations, charge a chaque Etat membre 
(et a tout autre Etat interesse) de les transposer dans son droit propre. 

Ainsi, en France, est applique depuis le l er janvier 1993 le ratio de solvabilite euro- 
peen (directive 89/647/CEE du 18 decembre 1989), traduit dans le droit francais 
par le reglement 91-05 du Comite de la reglementation bancaire et financiere et 
l’instruction 91-02 de la Commission bancaire. 

Les accords de Bale sont actuellement appliques dans plus d’une centaine de pays. 

La grande limite du ratio Cooke, et done des reglementations issues des premiers 
accords de Bale, est liee a la definition des engagements de credit. La principale 
variable prise en compte etait le montant du credit distribue. A la lumiere de la 
theorie financiere moderne, il apparait qu’est negligee la dimension essentielle de la 
qualite de l’emprunteur, et done du risque de credit qu’il represente reellement. 

Le comite de Bale va done proposer en 2004 un nouvel ensemble de recommandations, 
au terme duquel sera definie une mesure plus pertinente du risque de credit, avec en 
particulier la prise en compte de la qualite de l’emprunteur, y compris par l’interme- 
diaire d’un systeme de notation interne propre a chaque etablissement (denomme IRB, 
internal rating based). Le nouveau ratio de solvabilite est le ratio McDonough. 

Les trois piliers de Bale II 

Les recommandations de Bale II s’appuient sur trois piliers (terme employe explici- 
tement dans le texte des accords) : 

• l’exigence de fonds propres (ratio de solvabilite McDonough) ; 

• la procedure de surveillance de la gestion des fonds propres ; 

• la discipline du marche (transparence dans la communication des etablissements) . 
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Pilier 1 : I'exigence de fonds propres 

Comme indique ci-dessus, c’est le chapitre qui nous interesse le plus ; il affine 
1’ accord de 1988 et cherche a rendre les fonds propres coherents avec les risques 
reellement encourus par les etablissements financiers. Parmi les nouveautes, signa- 
lons la prise en compte des risques operationnels (fraude et pannes de systeme) et des 
risques de marche, en complement du risque de credit ou de contrepartie. 

Nous passons ainsi d’un ratio Cooke ou : 

Fonds propres de la banque > 8 % des risques de credit 
A un ratio McDonough ou : 

Fonds propres de la banque > 8 % des (risques de credit (75 %) + de marche (5 %) + 
operationnels (20 %)) 

De plus le calcul des risques de credit se precise par une ponderation plus fine des 
encours avec une prise en compte : 

• du risque de defaut de la contrepartie (le client emprunteur) ; 

• du risque sur la ligne de credit (type de credit, duree, garantie) ; 

• de l’encours. 

Ces risques s’expriment par des probabilites : 

• PD : probabilite de defaut de la contrepartie ; 

• LGD : taux de perte en cas de defaut sur la ligne de credit, qui s’applique sur 
l’encours a un an du client, l’EAD (exposition au moment du defaut). 

Pour le risque de credit, les banques peuvent employer differents mecanismes 
d’evaluation. La methode dite « standard » consiste a utiliser des systemes de nota- 
tion fournis par des organismes extemes. 

Les methodes plus sophistiquees (methodes IRB pour internal rating based) avec la 
methode dite « IRB-Fondation » et celle dite « IRB-Avancee » impliquent des 
methodologies internes et propres a l’etablissement financier d’evaluation de cotes 
ou de notes, afin de peser le risque relatif du credit. Ainsi, en methode standard, les 
PD et LGD sont imposes par le regulateur (commission bancaire en France) soit 
directement pour la LGD, soit en imposant un organisme de notation (cotation 
BDF, Standard and Poor’s...). En methode « IRB fondation », la banque estime sa 
PD, et le LGD reste impose par le regulateur. En methode « IRB avancee », la 
banque maitrise toutes ses composantes. 

Le choix de la methode (plus ou moins complexe) permet a une banque d’identifier 
ses risques propres en fonction de sa gestion. Une banque qui voudrait etre au plus 
pres de sa realite tendra vers le choix d’une methode avancee. Mais en contrepartie, 
l’investissement est d’autant plus important. La determination d’une LGD demande 
ainsi la gestion et l’historisation de plus de 150 donnees mensuelles sur un minimum 
de cinq ans sur chacun des credits accordes. 

Le calcul du risque de credit est alors simple : RWA= f(PD ; LGD) X EAD ou 
f respecte une loi normale. 
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II se complete du calcul d’une perte attendue : EL = PD X LGD X EAD 

Dans le ratio = T Foods propres > 8 

Risque de credit + Risque operationnel + Risque de marche 


Pilier 2 : la procedure de surveillance de la gestion des fonds propres 

Comme les strategies des banques peuvent varier quant a la composition de l’actif et 
la prise de risques, les banques centrales auront plus de liberte dans l’etablissement de 
normes face aux banques, pouvant hausser les exigences de capital la ou elles le juge- 
ront necessaires. . . 

Cette necessite s’appliquera de deux fafons : 

• validation des methodes statistiques employees au pilier 1 ( back testing) ; 

• test de validite des fonds propres en cas de crise economique. 

1) La banque devra prouver a posteriori la validite de ses methodes definies a priori en 
fonction de ses donnees statistiques, et cela sur des periodes assez longues (5 a 7 ans). 
Elle devra en outre etre capable de « tracer » l’origine de ses donnees. 

2) La banque devra prouver que, sur ses segments de clientele, ses fonds propres sont 
suflisants pour supporter une crise economique touchant l’un ou tous ces secteurs. 
La commission bancaire pourra en fonction de ces resultats imposer la necessite de 
fonds propres supplementaires. 

V allocation des fonds propres depend de la maitrise des risques operationnels. 
V exigence en termes de fonds propres peut etre basee sur trois methodes. 

Methode de base (petits etablissements bancaires) 

K = beta X PNB moyen des 3 demieres annees 
K = exigence a minima en termes de fonds propres 
Beta = 15 % 

Approche standard 

La logique d’allocation des fonds propres depend de la maitrise des risques opera- 
tionnels par metier bancaire : 

K= beta i X PNB i 

Les coefficients beta se detaillant de la fafon suivante : 

• B1 financement entreprise : 18 % ; 

• B2 negoce et vente : 18 % ; 

• B3 banque de detail : 12 % ; 

• B4 banque commerciale : 15 % ; 

• B5 paiement et reglement 18 % ; 

• B6 fonction d’ agents : 15 % ; 

• B7 gestion d’actifs : 12 % ; 

• B8 courtage de detail : 12 %. 
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AAM (approche de mesure avancee) 

Cette approche est subordonnee aux exigences suivantes : 

• obligation d’ existence de key risks indicators (KRI) ; 

• analyse par scenarii ; 

• existence d’une base incidents enregistrant la sinistrahte interne a l’etablissement 
bancaire. 

Pilier 3 : la discipline de marche 

Des regies de transparence sont etablies quant a rinformation mise a la disposition 
du pubbc sur l’actif, les risques et leur gestion. 

L’appbcation de Bale II est une puissante machine qui « formate » les donnees de 
gestion d’une banque. 

Ses consequences sont de trois ordres au niveau du pilier 3 : 

• uniformisation des bonnes pratiques bancaires. Quelle que soit la banque et quelle 
que soit la reglementation qui la regit (droits nationaux), les pratiques doivent etre 
transparentes et uniformisees ; 

• les bases mises en place pour ce calcul sont une puissante source de donnees de 
gestion, qui (enfm) reconcilient les vues risques, comptables et financieres ; 

• transparence fmanciere : les analystes trouveront enfm une lecture des portefeuilles 
de risque identique pour toute banque dans tout pays. 

La definition des risques pris en compte dans le secteur bancaire en 
conformite avec Bale II 

Pour definir la pobtique que doit adopter un etablissement en matiere de controle 
interne, l’analyse des risques constitue un prealable. 

La notion de risque de credit est immediatement associee au risque de contrepartie ; 
pour un dossier donne, il est en effet clair que le risque premier reside dans la 
volonte, mais aussi dans la capacite de l’emprunteur a faire face a ses engagements. 
Dessiner 1’ organisation du controle interne en ne considerant que ce seul aspect 
serait toutefois reducteur. Les risques que l’on pourrait qualifier d’additionnels ou de 
connexes au risque de contrepartie doivent egalement etre maitrises et done preala- 
blement evalues. Au nombre de huit, ils prennent naissance lors de l’initiation des 
transactions et le plus souvent perdurent jusqu’a l’echeance finale. 

On distingue alors : 

• le risque de garantie : la banque peut devoir supporter une perte si elle ne peut 
exercer la garantie attachee a un pret en defaut ou si le produit de cette action 
s’avere insuffisant pour couvrir les engagements accumules par le debiteur. Les dif- 
ficultes recentes rencontrees dans le domaine immobilier par de nombreux etablis- 
sements lorsqu’ils ont envisage de realiser leurs gages sont une illustration de ce 
type de risque ; 

• le risque de concentration : une diversification insuffisante du portefeuille de con- 
cours en termes de secteurs economiques, de regions geographiques ou de taille 
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d’emprunteur peut provoquer des pertes importantes ; les banques regionales y 
sont particulierement exposees, de meme que les etablissements specialises ; 

• le « risque pays » : bien connu des grands etablissements, il se manifeste lorsqu’un 
pays etranger ne dispose plus de reserves suffisantes pour faire face aux engage- 
ments en monnaie etrangere de ses ressortissants ; 

• le risque de change : il nait chaque fois que l’etablissement accorde un credit dans 
une monnaie qui n’est pas celle de l’expression de ses capitaux propres ; si les res- 
sources utilisees pour financer cet emploi sont libellees dans la meme devise, le ris- 
que ne porte que sur la marge de l’operation ; dans le cas contraire, le montant en 
principal est egalement expose. Ce risque se manifeste egalement si la banque, 
apres avoir achete des devises et apres avoir dote une provision en devises, est 
amenee a les revendre lors d’une reprise de provisions non utilisees ; 

• le risque de fraudes : multiforme, il peut s’agir par exemple de concours consentis 
a de faux clients, done bien evidemment irrecouvrables ; 

• le risque d’inities : il s’agit de concours accordes a des conditions hors marche, ou 
selon des procedures exceptionnelles a des dirigeants de la banque, a des entrepri- 
ses dans lesquelles ils ont des interets ou a des societes liees a des actionnaires 
important de l’etablissement ; 

• le risque legal et reglementaire : l’activite de credit est etroitement reglementee 
(cornme symetriquement l’est le droit d’ engager une personne morale en tant que 
contrepartie) et le non-respect de nombreuses dispositions peut conduire l’etablis- 
sement a supporter des pertes soit directement, soit en raison de fimpossibilite de 
mettre en oeuvre une garantie ; 

• le risque operationnel : cette notion recouvre toutes les erreurs de traitement, qui 
peuvent survenir au cours de la vie d’un dossier, telles que : deblocage des fonds, 
avant que toute la documentation requise n’ait ete reunie, saisie erronee des con- 
ditions de credit dans les systemes de gestion, mauvaise identification des concours 
compromis... 

L'analyse specifique du risque de taux 

Le risque de taux d’interet conceme a la fois les positions de taux prises en salles de 

marches ainsi que l’exposition au risque de transformation, inherent a l’activite 

bancaire par definition. 

La maitrise du risque de taux passe par 1’ existence d’une unite de controle des 

risques qui s’applique aux operations de marche et a pour role de : 

• concevoir et mettre en place un systeme de gestion des risques ; 

• produire et analyser des rapports quotidiens ; 

• realiser des mesures ex post destinees a verifier la qualite des mesures produites par 
le modele interne que la banque souhaite faire connaitre aux autorites de tutelle. 
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La specificite des risques de marche 

En matiere de risques de marche, le CRB 97-02, bien que novateur a plus d’un 
titre, n’apporte pas de bouleversements fondamentaux par rapport au texte qui l’a 
precede. II pose : 

• des principes generaux d’ organisation et de fonctionnement de l’ensemble du dis- 
positif de controle interne, ces principes etant applicables a l’ensemble de ces 
composantes ; 

• des obligations tres precises s’appbquant specifiquement a chacune des unites qui 
assurent le pilotage d’une ffaude fonction ou d’un grand risque. 

Le nouveau reglement sur le controle interne introduit une exigence tres forte de 
formabsme, cette exigence s’imposant a toutes les directions des etabhssements de 
credit. Nulle part le controle interne n’est plus justifie que dans les salles de marches 
(l’importance des volumes traites, la sophistication des techniques de transaction, le 
caractere souvent instantane des prises de decision, revolution quasi permanente des 
instruments et des strategies...). Or, si la reglementation prevoit une parfaite inte- 
gration du controle interne dans 1’ organisation, les methodes et les procedures de 
chaque activite, il semble que runivers de la salle de marches soit peu propice a une 
telle demarche en raison : 

• du recours frequent a des instruments telematiques ; 

• de la necessite de reagir rapidement en toutes circonstances. 

Fonds propres economiques et RAROC 1 

La notion de fonds propres economiques est constituee des composantes suivantes : 

• tier 1 : capital et reserves et report a nouveau ; 

• tier 2 : fonds de garantie et reserves latentes, et titres et emprunts subordonnes ; 

• tier 3 : benefices intermediaries du portefeuille de negociation et emprunts subor- 
donnes de plus de 2 ans. 

Ces fonds propres economiques sont alloues par unite d’affaires bancaire en fonction 
d’un CMPC calcule par branche d’ activite. 

Ratios McDonough et allocation des fonds propres en fonction 
des risques 

Bale II vise a maximiser la solvabihte des etabhssements de credit en protegeant les 
fonds propres. 

Le ratio de solvabihte McDonough fixe des exigences importantes en termes de 
constitution des fonds propres : les fonds propres reglementaires doivent faire 
a minima 8 % (exigences pour risque de marche X 12,5 + exigences pour risque 
operationnel X 12,5 + encours des risques de credit pondere. 


1. RAROC : Risk Adjusted Return On Capital (rentabilite du capital ajustee au risque). 
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Modalites de renforcement des dispositifs de controle interne et de risk 
management bancaire suite aux scandales financiers et a la crise 
financiere de 2008 

Les recents scandales financiers (Caisse d’epargne, Societe generate) et la crise 
financiere, boursiere et economique generee par la crise des subprimes imposent 
de renforcer les dispositifs de risk management et de controle interne dans les 
etablissements bancaires tant au niveau de la gouvernance qu’au niveau du 
controle des activites. 

Renforcement de la gouvernance bancaire 

La methodologie du COSO a prouve via ses scandales financiers la faiblesse de la 
composante « environnement du controle ». A ce titre, le rapport Ricol realise pour 
le compte du president de la Republique franc aise pointe du doigt les vulnerabilites 
de ces dispositifs au sein des banques europeennes. 

Renforcement du controle des activites (dont les activites de trading) 

Rappelons tout d’abord les faits (retour d’experience du scandale financier de la 
Societe generale/ affaire Kerviel), via les conclusions de la mission d’audit interne 
menee par la direction de 1’ audit interne et presentees au comite special au sein du 
conseil d’ administration de la banque : 

• l’auteur de la fraude est sorti du cadre de son activite normale d’arbitrage et a 
constitue des positions directionnelles reelles sur des marches reglementes, en les 
masquant par des operations fictives de sens contraire ; 

• les differentes techniques utilisees ont constitue principalement en : 

- achats, ventes de titres ou warrants a date de depart decale, 

- transactions ou futures avec une contrepartie en attente de designation, 
—fonvards avec une contrepartie interne au groupe. 

L’inspection generale de la banque considere que les controles prevus par les fonc- 
tions de support ont dans l’ensemble ete effectues et menes conformement aux 
procedures, mais n’ont pas permis d’identifier la fraude avant le 18 janvier 2008, 
alors que le trader avait commence a prendre des positions a risque des mars 2007. 
Du point de vue de l’inspection generale, l’absence d’identification des fiaudes peut 
s’expliquer par l’efficacite et par la diversite des techniques de fraude utilisees, et 
d’autre part par le fait que les controleurs n’approfondissent pas systematiquement 
leurs controles et enfin par l’inexistence de certains controles qui auraient pu identi- 
fier la fraude. 

Par voie de consequence, il s’avere indispensable de developper de nouvelles 
mesures visant a prevenir les risques de fraude concemant les activites de trading 
generatrices des recents scandales financiers, a savoir : 

• le renforcement de la securite informatique par le developpement de solutions 
d’identification fortes (biometrie), par l’acceleration de projets structurels en 
matiere de gestion et de securite des acces, ainsi que par la realisation d’ audits de 
securite cibles ; 
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• le renforcement des controles, procedures d’alerte, empechant les ruptures dans les 
chaines de commandement et de reporting ; 

• le renforcement de 1’ organisation et de la gouvemance du dispositifde prevention 
des risques operationnels dans une optique de transversalite. 


Les contraintes reglementaires specifiques a Solvency II 

A l’instar de Bale pour les banques, l’Union europeenne a etabli un nouveau code 
reglementaire pour la gestion des risques des compagnies d’assurances. La version 
definitive de Solvency II (« Solvabilite II ») est prevue pour une application vers 
2010 . 

Par rapport a la directive Solvency I actuellement en place, Solvency II a generalise 
la mesure du risque operationnel, introduit le Solvency Capital Requirement et 
entrainera un controle accru du regulateur. 

Mise en oeuvre de la phase 1 : les fondations de Solvency II 

La premiere phase de Solvency II s’ est deroulee de mai 2001 a l’automne 2003. 
L’objectif consistait a developper un referentiel de haut niveau en termes d’ exigence de 
solvabilite pour les compagnies d’assurances en identifiant les insuffisances du dispositif 
actuel et en investiguant de nouvelles techniques permettant de maitriser le risque 
d’insolvabilite. 

A ce titre, la commission europeenne commanda deux etudes : 

• le rapport Sharma presente en decembre 2002 par le groupe de Londres et le 
groupe de travail ad hoc mis en oeuvre par la conference des autorites de tutelle 
europeennes. Ce rapport arriva a la conclusion qu’un renforcement des fonds pro- 
pres associe a un management de qualite etait l’outil majeur preventif du risque 
d’insolvabilite des compagnies d’assurances ; 

• une deuxieme etude mettant en exergue la necessite de construire un dispositif de 
controle beaucoup plus base sur les risques. 

Dans cette premiere etape emergea l’idee de construire un dispositif de controle de 
la solvabilite des compagnies d’assurances par le biais de trois piliers (raisonnement 
identique a Bale II), combinant a la fois des outils de mesure quantitatifs et qualitatifs 
innovants, tels que : 

• matching entre actif et passif ; 

• identification et quantification des risques et minimisation du risque systematique ; 

• estimation des flux de decaissement lies a la sinistralite ; 

• convergence entre les modeles specifiques d’ evaluation des risques de compagnies 
et les modeles des autorites de tutelle. 
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Phase 2 : mise en oeuvre operationnelle du dispositif via les trois 
piliers de Solvency II 

La phase 2 du dispositif s’est traduite par la mise en oeuvre legislative et administra- 
tive du dispositif Solvency II a trois niveaux : 

• redaction du projet de directive europeenne par la Commission europeenne pour 
adoption par le Parlement et le Conseil europeens ; 

• mise en oeuvre effective des mesures proposees par le groupe technique, y compris les 
mesures techniques, par l’EIOPC (European Insurance and Occupational Pensions 
Committee) ; 

• mise en oeuvre d’un processus d’ harmonisation des processus de controle intra- 
UE, IOPC, Calls, Risks. 

Le premier pilier : contraintes quantitatives/constitution de deux niveaux 
de fonds propres 

MCR (Minimum Capital Requirement) et SCR (Solvency Capital Requirement) 
sont compares au niveau actuel du capital disponible correspondant a un capital 
economique. L’analyse comparative aboutit a trois scenarii : 

• si le capital disponible est superieur au SCR, alors la compagnie d’assurances est 
suffisamment capitalisee ; 

• si le capital disponible est compris entre le MCR et le SCR, alors il y a emission 
d’un indicateur d’alerte aupres des autorites de tutelle, et de la gouvemance de la 
compagnie ; 

• si le capital disponible est inferieur au MCR, alors la compagnie est reputee insolvable. 
Alors que le MCR est determine par une formule simple, le SCR est calcule soit a 
partir d’une approche standard basee sur de 1’ analyse fonctionnelle, soit en utihsant 
un modele interne de risques. Les parametres pris en compte dans le cadre de ces 
modehsations sont les suivants : 

• risque de souscription ; 

• risque de marche ; 

• risque credit ; 

• risque de hquidite ; 

• risques operationnels. 

Le deuxieme pilier (qualitatif) : processus de supervision et management 
interne des risques 

Le second piber du dispositif Solvency II correspond a l’implementation de systemes 
de controle interne et de risk management efficaces. 

La notion de risk management est definie de facon extensive et integre les principes de 
calcul des provisions sur des bases actuarielles et la gestion assets liabilities management. 
Cette demarche a pour but d’allouer les fonds propres par unite d’affaires en fonc- 
tion du niveau de maitrise des risques de sinistralite et des risques strategiques. 
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Le troisieme pilier : transparence du marche et communication financiere 

Le troisieme pilier du dispositif Solvency II reside dans 1’ existence d’une discipline 
du secteur de l’assurance et d’une transparence du marche. A ce titre, il est interes- 
sant d’analyser l’aide que peuvent fournir des outils de communication financiere 
telles que les normes IFRS 4 (actifs et passifs d’assurance) et IFRS 7 (etats financiers). 

ORSA (Own Risk and Solvency Assessment) et directive Solvency II 

La mise en oeuvre d’un dispositif Solvency II passe obligatoirement par la moderation 
d’une evaluation interne des risques denommee « Own Risk and Solvency Assessment ». 
Ce modele interne doit contenir : 

• 1’evaluation d’un besoin global de solvabilite ; 

• la couverture permanente des exigences de fonds propres et de provisionnement ; 

• l’adequation ou non du modele interne aux profils de risque de l’entreprise ; 

• l’identification des principaux risques auxquels est exposee l’entreprise, et des sce- 
narii economiques adverses. 

La demarche ORSA exige que les fonds propres soient en permanence suffisants 
pour couvrir les SCR et MCR. 

La frequence de calcul du SCR doit etre adaptee au profil de risque au moins une 
fois par an pour un profil de risque moyen, a chaque changement significatif de 
profil de risque. 

Le MCR doit etre calcule tous les trimestres. 

Solvency II impose d’ autre part la mise en oeuvre d’exigences de reporting, qui se 
traduira par une intervention graduee des autorites de controle en fonction des 
exigences de solvabihte, a savoir : 

• si les fonds propres sont integres entre le SCR et le MCR : notification du super- 
viseur, fourniture d’un plan de redressement (levee de fonds, reduction des ris- 
ques), reunions reguberes avec le superviseur ; 

• si les fonds propres sont inferieurs au niveau de capital minimum (MCR) : fourni- 
ture d’un plan de sauvetage financier, eventuel arret de la souscription, preparation 
par le superviseur du plan de retrait d’agrement et de dissolution. 
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Chapitre 2 

Le risk management bancaire 

Le developpement du risk management bancaire passe a la fois par la mise sous 
controle de risques financiers specifiques aux etablissements bancaires et par la mise 
sous controle de risques operationnels generiques ou specifiques (blanchiment 
d’argent, financement du terrorisme, etc.) . 


La mise sous controle des risques financiers (contrepartie, 
credit, etc.) 

Gestion ALM et risk management bancaire 

La gestion ALM ( asset-liability management) vise trois objectifs : 

• maitriser les durees via la gestion des impasses ; 

• maitriser le risque de taux ; 

• evaluer la banque. 

L’approche ALM peut etre declinee de fafon dynamique et statique : 

• statique : activite fraiche mise a zero et seuls les encours existants s’ecoulent 
jusqu’a epuisement ; 

• dynamique : integrant les objectifs de collecte et d’emplois ajoutes aux objectifs 
initiaux. 

MaTtrise des durees, gestion des impasses 

A la date d’arrete de bilan, les encours d’actif et de passif ont une duree moyenne de 
disponibilite (passif) ou d’ immobilisation (actif). 

Ils generent des flux de capitaux faisant partie du TRE : tableau emplois/ressources : 

• depots, retraits pour les ressources ; 

• versements amortissements pour les credits ; 

• achats ventes remboursement pour le portefeuille titres. 

Les ecarts mensuels entre les flux entrants et sortants representent, s’ils sont negatifs, 
les impasses de gestion. Etablies sur une duree de cinq ans et regroupees par 
tranche : trois mois, six mois, un an, deux ans, trois ans, quatre ans, cinq ans et plus. 
La maitrise des impasses a un effet sur la structure de la collecte previsionnelle et des 
credits a moyen et long terme. 

ALM et gestion du risque de taux 

Le risque de taux est defini comme le risque encouru en cas de variation des taux 
d’interet du fait de l’ensemble des operations de bilan et de hors-bilan. 
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II existe un risque de variation des resultats generes par les variations des taux 

d’interet se traduisant par une diminution du PNB (produit net bancaire) . 

On denombre deux risques : 

• taux fixe a taux fixe ; 

• taux fixe a taux variable. 

Le risque de taux fixe a taux variable peut etre convert par un swap de taux : 

• il s’agit d’une macro-ouverture revenant a un echange d’interets et non de capital ; 

• le prix du swap est obtenu en actualisant les flux de capitaux et d’interets a taux 
fixe (premiere jambe) ; 

• et les memes a taux variable (deuxieme jambe). 

Evaluation de I'etablissement bancaire et ALM 

La valorisation de la valeur liquidative de la banque passe par le calcul de la valeur 

actuelle nette des actifs et des passifs : 

• dans le calcul des impasses les encours sont classes a la date d’arrete selon leur duree 
restant a courir en actif comme en passif ; 

• ces echeanciers de flux financiers sont completes par ceux correspondant aux 
autres encours (immobilisations, participations, fonds propres) et sont actualises au 
taux de la courbe de taux ; 

• l’approche dynamique applique le meme raisonnement en integrant en plus les 
previsions d’activite sur cinq ans. Les flux previsionnels generant un bilan actuariel 
completent le bilan valorise dans l’approche statique. 


La mise sous controle des risques operationnels 

Environnement d'entreprise et gouvernement d'entreprise de la banque 

Les acteurs cles du gouvernement d’entreprise dans le secteur bancaire sont : 

• le comite d’audit : il supervise les methodes mises en oeuvre en termes de controle 
interne et exteme ; 

• le comite des remunerations : il fixe la remuneration des membres du conseil 
d’ administration et 1’ attribution des stock-options ; 

• la direction de l’audit interne : elle pilote eventuellement le projet SOX impose 
par la SEC ou le projet 8 e directive EEC dans le secteur bancaire, ainsi que la stra- 
tegic ALM. 

Les attributions cles du comite d'audit en vue de construire un risk mana- 
gement bancaire mature 

On entend par comite d’audit un comite qui peut etre cree par l’organe deliberant 

pour l’assister dans l’exercice de ses missions. 

Cette creation n’est pas obligatoire a ce jour (elle le devient avec la 8 e directive euro- 

peenne sur 1’ audit legal) et, meme si elle est formellement encouragee par les autorites 
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de tutelle, il appartient au seul organe deliberant de l’etablissement de credit de decider 
ou non de sa creation, sa composition, ses missions et modalites de fonctionnement. 

Sa creation est de nature a faciliter le controle effectif par les conseils d’adminis- 
tration dont le comite d’ audit est une emanation, et sa mission ne doit pas se limiter 
a l’analyse des comptes, mais s’etendre a 1’ appreciation de la qualite des dispositifs de 
controle et des outils de pilotage. 

II a deux missions principales : 

• il est charge de verifier la clarte des informations fournies et de porter une appre- 
ciation sur la pertinence des methodes comptables adoptees par l’etablissement des 
comptes individuels et, le cas echeant, consolides ; 

• il doit porter une appreciation sur la qualite du controle interne, notamment la 
coherence des systemes de mesure, la surveillance et la maitrise des risques, ainsi 
que proposer, autant que de besoin, des actions complementaires a ce titre. 

Le comite d’audit assure egalement d’autres taches, telles que : 

• maintenir la communication entre le conseil d’ administration, les dirigeants et les 
auditeurs internes et extemes, afin d’echanger des informations et des points de vue ; 

• surveiller et apprecier l’independance de la qualite, le rapport efficacite/couts et le 
champ de la fonction d’audit interne ; 

• effectuer un examen independant des etats financiers annuels et d’autres informa- 
tions extemes pertinentes ; 

• dormer des avis sur la nomination d’un auditeur exteme ; 

• s’assurer que l’etablissement de credit opere dans le respect des lois et des regie- 
mentations. 

Les outils du dispositif de risk management bancaire 

Le dispositif de risk management bancaire se compose des outils suivants : 

• procedures de revision comptable/commissariat aux comptes en Domestic GAAP, 
IFRS et US GAAP (en cas de reconciliation des comptes consolides IFRS - US 
GAAP) ; 

• existence de plans de continuite de 1’ exploitation et definition des applicatifs 
critiques ; 

• cartography exhaustive des processus compatibles avec les dispositifs de controle 
qualite ; 

• plan de protection des informations ; 

• processus de revision et d’arretes de comptes de type Sarbanes-Oxley en cas de 
cotation aux USA ; 

• requetes informatiques d’autocontrole (identification d’ operations anormales) ; 

• procedures ecrites ; 

• manuel de conventions intragroupe ; 
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• cartographic type des ecritures comptables (schemas comptables autorises) ; 

• tableaux de bord sinistrahte/non-qualite. 

Ces composantes servent a la fois a abmenter le Sirm (systeme d’information risk 
management) et le volet monitoring du COSO. 

Les outils specifiques de gestion de crise (plans de continuite, communica- 
tion de crise) 

Les etabhssements bancaires se doivent de simuler les impacts des scenarii de crise 
bancaire et d’evaluer leur impact via un indicateur financier, Value At Risk (VAR) : il 
s’agit de la perte potentielle maximale encourue par une banque dans un delai deter- 
mine. Cette perte maximale est obtenue par appfication d’une methode devaluation 
des risques, apres elimination des 1 % des occurrences les plus defavorables. 

Cette methode, utilisee a partir de 1998 pour repondre aux exigences des regulateurs 
en matiere de calcul des fonds propres reglementaires sur l’essentiel des risques de 
marche, est celle de la « simulation historique » et repose sur les principes suivants : 

• constitution d’un historique de parametres de marche representatifs du risque 
des positions ; 

• determination de 250 scenarii correspondants aux variations sur un jour observees 
sur un historique d’un an glissant ; 

• deformation des parametres du jour selon ces 250 scenarii ; 

• revalorisation des positions du jour sur la base de ces 250 deformations des condi- 
tions de marche. 


Matrice devaluation des impacts 



Tres eleve Eleve Moyen Faible 

Pertes financiers 
directes 

Pertes de revenu 

L’echelle des pertes est definie par le management en s’appuyant sur les 
donnees comptables de I’activite etudiee (PNB moyens journaliers/men- 
suels/annuels) et sur les indicateurs de risques (par exemple : VAR) 

Impacts regle- 
mentaires 

Incapacity a 
repondre aux 
obligations regle- 
mentaires. Per- 
tes de licence ou 
de droit a operer 
sur les marches 

Incapacity a 
repondre a cer- 
taines obligations 
reglementaires 
majeures. Mises 
sous surveillance. 
Risques de sus- 
pension tempo- 
raire des activites 

Incapacity a 
repondre a certai- 
nes obligations 
reglementaires 
dans les delais 
impartis, bien que 
les regulateurs 
puissent accepter 
quelques retards 

La banque n’est 
pas dans I’inca- 
pacite de fair 
face a ses obli- 
gations et/ou 
tolerance proba- 
ble des regula- 
teurs 

Impacts 

legaux/juridiques 

Nombreuses 
plaintes et pour- 
suites avec pena- 
lties financiers 
majeures. Les diri- 
geants de la ban- 
que sont exposes 
a des poursuites 

Plaintes et pour- 
suites avec des 
clients et des con- 
treparties avec 
possibility de 
penalties finan- 
ciers conse- 
quentes 

Quelques plaintes 
ou poursuites 
possibles de la 
part de clients ou 
de contreparties 
mais avec des 
penalites finan- 
ciers limitees 

Possibility 
limitee d’actions 
en justice 
contre 
la banque 

DS=- 
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Tres eleve 

Eleve 

Moyen 

Faible 

Impacts sur 
I’image/ 
la reputation 

La banque est 
mise en dehors 
du marche. La 
reconstruction de 
la reputation 
demandera plu- 
sieurs 

mois/annees 
avec des couts et 
des efforts tres 
importants 

Perte d’un nom- 
bre significatif de 
clients majeurs. 
Alteration sensible 
des relations avec 
les contreparties. 
La reconstruction 
de la reputation 
demandera des 
mois avec des 
couts et des efforts 
supplementaires 

Pertes de clients 
mineurs ou perte 
limitee de clients 
majeurs. La repu- 
tation de la ban- 
que pourra etre 
reconstruite en 
quelques semai- 
nes avec des 
efforts supple- 
mentaires 

Probability faible 
de perdre des 
clients a court 
terme. Pas 
d’effort supple- 
mentaire requis 
pour gerer 
I’image de la 
banque apres le 
sinistre 

Impacts sur les 
autres processus 
de la banque 

Perturbations 
importantes de la 
plupart des activi- 
tes critiques de la 
banque 

Perturbations 
majeures sur un 
nombre significa- 
tif d’autres activi- 
tes de la banque 

Quelques pertur- 
bations mineures 
sur d’autres 
activites a travers 
la banque 

Peu ou pas 
d’impact sur les 
autres activites 
de la banque 


Les difficultes liees a la mise en oeuvre d'une reflexion du type gestion 
de crise, plan de continuite 

La reflexion en termes de conception d’un plan de reprise d’activite (PRA) passe par 
un certain nombre d’ arbitrages : 

• les arbitrages en termes de cout financier et social ; 

• les arbitrages techniques sur la faisabilite (on ne peut pas tout faire) ; 

• les arbitrages strategiques (les risques operationnels ne s’opposent-ils pas aux businesses) ; 

• il y a un equilibre a trouver entre business et efficacite operationnelle, controle et 
resilience, controle et activite... 

La plupart des tests doivent etre realises par precaution les jours ou 1’ activite est 
nulle. Les acteurs des tests se doivent de simuler des transactions Actives, par 
exemple en envoyant dans le systeme une operation de 1 euro. Ces tests sont realises 
dans des environnements aseptises, controles et securises. Cela a un interet certain, 
mais peu representatif d’une situation reelle en cas de crise. 

D’ou la proposition d’un test en situation reelle avec des transactions reelles. Ce test 
pourrait etre effectue : 

• en production normale, c’est-a-dire en semaine ; 

• ou en joumee « Target » (jours feries pour lesquels les marches financiers sont 
ouverts), c’est-a-dire en production limitee. 

„ II existe des hens de dependance forts avec certains partenaires, parties prenantes 

=§ (structures d’infogerance par exemple). Ceux-ci doivent aussi etre resilients ou 

^ travailler dans ce sens. A quoi bon effectuer un effort pour homogeneiser les plans 

3 de continuite des activites dans une organisation qui depend etroitement d’une autre 

@ entite non resiliente ? D’ou l’importance de la communication, de la sensibilisation 
et de 1’ adherence des partenaires a cette demarche. 
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Le benchmark est aussi une problematique des autorites financieres de faire refe- 
rence aux differents tests de place. Par exemple, la place financiere de Paris effectue 
regulierement des tests, la FSA egalement. Dans une logique d’ensemble on conver- 
gera vers une reduction du risque systemique. 

L’ evolution des PCA vers une convergence intragroupe souleve de nouveaux 
besoins, comme un referentiel commun : il faut un referentiel commun qui recense 
les activites, processus et sous-processus de l’entite et qui repertorie et etablit les liens 
entre differentes entites. Ces referentiels de processus, et les cartographies (applica- 
tives, fonctionnelles, etc.) afferentes, devront etre maintenus a jour. 

La transversalite est un concept important : la plupart des grands groupes cornmu- 
niquent sur leur structure (« Coherence et subsidiarite »). Dans la plupart de ces 
groupes, on note un fonctionnement majoritairement en silo. II convient de 
depasser cette vision et de progresser vers une dimension transversale . 

Controle des activites dans le secteur bancaire 
Les risques specifiques (hold-up, informatique) 

Le risque de hold-up 

Le risque de hold-up est un risque specifique au secteur bancaire qui necessite 
d’engager une politique de prevention dediee passant par : 

• un equipement systematique des agences en sas de securite ; 

• la suppression de remise et transactions en liquide dans certaines agences a risque ; 

• une politique d’ appro visionnement hautement securisee via les convoyeurs. 

Le risque informatique 

Le risque informatique, bien que non specifique aux etablissements bancaires, est un 
risque majeur qui necessite d’engager des mesures preventives substantielles, compte 
tenu du caractere de dematerialisation de l’activite bancaire, telles que : 

• duplication du reseau ; 

• back-up informatique intragroupe et exteme (avec constructeur et structure 
d’infogerance). 

Les delais d’ arret de 1’ exploitation informatique doivent etre tres courts et paralyse - 
ront completement 1’ ensemble des processus bancaires. 

Cependant, les autres outils de mise sous controle des risques presentes dans cet 
ouvrage (assurance, prevention, etc.) seront, bien entendu, mis en oeuvre et actives. 

La prevention du risque de blanchiment et du financement du terrorisme 

Les dispositifs de prevention du risque de blanchiment et de financement du terro- 
risme sont a la hauteur de leurs enjeux et de la complexite des circuits utilises. 
Ils s’etayent sur les piliers suivants : 

• dispositifs organisationnels (formation des charges de clientele, supervision et 
controle managerial) ; 

• processus de controle interne specifique (formalisation de 1’ entree en contact, suivi 
des flux et des transactions, documentation et conservation des preuves, declara- 
tion de soupfons) . 
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Les elements permettant d’identifier de tels risques sont les suivants : 

• transaction superieure a 150 000 euros ne paraissant pas avoir de justification eco- 
nomique ou d’objet legal ; 

• cas de versements en especes substantiels ; 

• transferts de fonds frequents ; 

• distance importante non justifiee entre l’etablissement bancaire et la situation du client ; 

• mouvements frequents et non justifies sur comptes dans differents etablissements ; 

• cycle de vie des comptes rapide ; 

• mouvements frequents non justifies de fonds entre des etablissements se trouvant 
dans des zones geographiques differentes. 

Le dispositif de controle interne relatif a I'abus de marche 

La directive europeenne « Abus de marche » se fixe pour objectif de renforcer l’integrite 
des marches en reglementant le delit d’initie et la manipulation des cours de marche. 

La directive integre une dimension declarative visant a prevenir ces risques : 

• pour l’emetteur : etablissement d’une hste d’inities sur laquelle figurent toutes les 
personnes travaillant pour l’emetteur ou ses relations professionnelles ayant acces a 
des informations privilegiees ; 

• pour les dirigeants des groupes cotes : declarer toute operation pour leur propre 
compte sur instruments financiers ou instruments de marche (au sens de 1’IAS 39) 
de la societe concemee dans les cinq jours ouvrables consecutifs a la transaction ; 

• pour les analystes et joumalistes : informations precises a fournir pour s’assurer de 
leur independance et de la pertinence de leurs recommandations ; 

• pour les prestataires de services d’investissement : effectuer une declaration d’opera- 
tion suspecte des que 1’ etablissement a un soupcon sur un abus de marche possible. 

Les enjeux de la mise en oeuvre de la directive MIF du 2 1 avril 2004 

La directive europeenne MIF (Marche des instruments financiers) a pour objectif de 
renforcer le niveau de protection des investisseurs via la meilleure execution des 
transactions ( best transactions), par la classification des clients par leur niveau de risque, 
par l’adaptation de l’information financiere et de la qualite de service en fonction de 
cette classification, par la prevention des conflits d’interets. 

Elle se traduit aussi par un elargissement du perimetre du risk management bancaire 
en termes d’acteurs (ouverture en conseil en investissement), de typologies 
d’instruments financiers (integration des contrats derives en matieres premieres) et 
des transactions realisees. 

Elle se materialise par la classification des clients en trois typologies se concretisant 
par un service personnalise (suitability / appropriateness) , a savoir : 

• contreparties eligibles (etablissements de credit, societes de gestion) ; 

• clients professionnels (entreprises, institutionnels) ; 

• particuliers necessitant de beneficier d’une protection renforcee. 
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La directive MIF met ainsi en exergue la necessite d’une mise sous controle de la 
relation client en fonction de sa categorie d’appartenance, passant prealablement par 
une information prealable claire et non trompeuse et se traduisant par une meilleure 
connaissance du client, une prevention des conflits potentiels optimisant la politique 
de best execution (gestion des ordres client) et autorisant la mise en oeuvre de la suita- 
bility / appropriateness . 

Les risques generiques 

Les compagnies bancaires partagent de nombreux risques operationnels communs 
avec les groupes industriels, tels que : 

• risque de rupture d’ appro visionnement sur les achats de frais generaux ; 

• risque politique pour les filiales et partenariats etablis dans les pays en developpement ; 

• risque IARD ; 

• risque humain concemant les collaborateurs de la banque. 

Les outils utilises pour mettre sous controle ces risques sont identiques a ceux des 
groupes industriels et nous invitons le lecteur a se reporter aux chapitres de 
l’ouvrage traitant de ces themes. 


La mise sous controle du lancement des produits a risque 
(techniques de titrisation) 

La chute recente de grands groupes bancaires americains et europeens attire notre 
attention sur les causes de ces defaillances. Le rapport Ricol nous interpelle sur les 
defaillances des dispositifs de gouvernance des banques lies au lancement des produits 
a risque (pas de role d’alerte et rupture dans les chaines de commandement). 

Mais, de fait, a quoi correspondent ces produits a risque qui ont necessite de realiser 
des tests de depreciation des actifs financiers des etablissements bancaires ? 



Plan de reprise d’activite salles de marches : I’incendie du siege du Credit lyonnais 
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Les differentes techniques de titrisation 

II existe deux types de techniques de titrisation : 

• titrisation on balance sheet ; 

• titrisation off balance sheet. 

La titrisation on balance sheet se caracterise par remission par une banque de titres 
gages sur un pool de creances qui restent a l’actif du bilan mais sont cantonnees d’un 
point de vue juridique. 

Ce type de technique ne presente aucun interet en vue de modifier la structure 
financiere dans une optique de respect des contraintes liees a Bale II. 

La titrisation off balance sheet a pour effet de doper la rentabihte de la banque par 
deconsohdation de ses creances. 

Dans ce montage, la banque a un vehicule de refinancement de ses creances. Le SPV 
(Special Purpose Vehicle) finance 1’ acquisition des creances par emission de titres 
(asset-backed securities) . 

Les revenus encaisses par les investisseurs du SPV proviennent des revenus des 
creances transferees et inscrites a l’actif du bilan du vehicule de refinancement. 

On distingue les mortgage backed securities si les creances titrisees sont des credits 
hypothecates, des ABS, si les creances titrisees correspondent a des prets a la 
consommation ou a des prets automobiles. 

Les causes de defaillance de ces techniques de titrisation 

Les troubles apparus a l’ete 2007 sont intervenus apres une periode de croissance 
exceptionnelle de distribution du credit et de recours, pour financer ce credit, a un 
levier d’endettement considerable dans le systeme financier. 

Les banques preteuses ont utilise la titrisation et vendu leurs creances a d’autres 
intermediates financiers (suivant le modele dit originate to distribute), en dehors de 
toute regulation, sous la forme de vehicules d’investissement structures (SIV) et 
d’autres vehicules hors bilan. Ces vehicules, qui regroupaient des creances de long 
terme et de qualite variable, etaient finances par des investisseurs a court terme. 
Apres plusieurs annees de conditions macroeconomiques favorables et dans un 
contexte de liquidite abondante, les investisseurs se sont montres de moins en moins 
vigilants au regard des risques croissants de ces nouveaux produits financiers toujours 
plus complexes, mais neanmoins tres bien notes par les agences de notation, ce qui 
sous-entendait un faible risque pour les investisseurs, les institutions financieres et les 
autres acteurs. 

L’ augmentation du taux de defaut des emprunteurs sur les prets hypothecates 
subprimes aux Etats-Unis a entraine un assechement de la hquidite sur ces marches. 
Les relations interbancaires en ont ete largement affectees au travers d’une crise de 
confiance. Les banques ont par consequent eu a subir de lourdes pertes, ce qui a in 
fine declenche une crise financiere mondiale. Les banques centrales ont du, et 
doivent encore, effectuer des injections repetees de liquidite pour maintenir une 
certaine confiance. 



Chapitre 3 

Le risk management dans les compagnies 

d'assurances 

Les compagnies d’assurances sont culturellement peu habituees a raisonner en termes 
de risques operationnels internes, bien que leur metier consiste a financer les risques 
purs de leurs clients. 

Elies ont a se proteger face a deux types de risques : 

• les risques lies au metier financier (dont gestion d’actifs et mandats de gestion 
intragroupe ou pour le compte de tiers) ; 

• les risques operationnels generiques qu’elles rencontrent dans la realisation de leurs 
differents metiers (assurance-vie, non-vie, gestion immobiliere, banque, etc.). 


Risk management des metiers financiers 

Le risque de contrepartie 
Defaillance d'un emetteur obligataire 

Ce risque correspond au cas de figure de l’acquisition par une compagnie d’assu- 
rances de titres detenus a echeances (emprunts obligataires remboursables in fine et 
generant des coupons sur la periode d’amortissement du risque). 

En IFRS, cet emprunt est traite selon la methode du cout amorti, comptabibsant 
soit une prime dans le cas d’un ecart de performance en faveur de l’investisseur ou 
de decote dans l’hypothese d’un ecart de performance en defaveur du souscripteur. 
Le risque evoque n’est pas celui d’une sous-performance des titres detenus a 
echeance, se traduisant par un test de depreciation, mais par une insolvabilite de 
1’ emetteur necessitant de deprecier integralement la valeur de l’actif dans le bilan de 
la compagnie. 

Defaillance d'une contrepartie sur derives 

Ce risque correspond a l’inefficacite totale de la contrepartie d’un instrument de 
couverture, se traduisant : 

• soit par une diminution du resultat financier, dans le cas d’une couverture de juste 
valeur (hypothese d’un instrument de couverture portant sur des actifs ou des pas- 
sifs existants) ; 

• soit par une diminution de la reserve de juste valeur dans le cas d’une couverture 
de cash-flows (protection de cash-flows previsionnels de la compagnie). 
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Le risque de marche 
Depreciation sur actions 

Ce risque se traduit par un ecart de performance structurel entre le rendement 
attendu d’une action cotee en Bourse et son rendement reel. 

A noter que 1’IASB (International Accounting Standards Board) et le FASB (Finan- 
cial Accounting Standards Board), face a la crise economique et financiere du 
dernier trimestre 2008, ont pris une position nouvelle faisant apparaitre la notion de 
marche inactif, limitant ce type de risque. 

Lors du sommet des Etats de la zone euro du 12 octobre 2008, leurs dirigeants ont 
fixe les termes d’un plan d’ action concertee prevoyant, en particulier, une approche 
coordonnee visant a « assurer assez de flexibilite dans la mise en oeuvre des regies 
comptables IFRS ». « Compte tenu des circonstances exceptionnelles actuelles, les 
institutions financieres comme les institutions non financieres doivent pouvoir 
comptabihser, en tant que de besoin, leurs actifs en prenant en compte leurs modeles 
d’ appreciation des risques de defaillance de preference aux valeurs de marche imme- 
diates qui ne sont plus pertinentes dans des marches qui ne fonctionnent plus. » 
Cette declaration suit la recommandation emise lors de l’Ecofin du 7 octobre 2008, a 
1’ attention des superviseurs et des auditeurs de l’Union europeenne, d’eviter toute distor- 
sion de traitement entre les banques americaines et europeennes du fait des normes 
comptables, et ce, des la cloture des comptes intermediaires au 30 septembre 2008. 

Le Conseil national de la comptabilite, l’Autorite des marches financiers, la 
Commission bancaire et 1’ Autorite de controle des assurances et des mutuelles ont 
elabore, apres une reunion avec la Compagnie nationale des commissaires aux 
comptes, une recommandation conjointe destinee a rappeler le traitement comp- 
table de certains instruments financiers (IAS 39), pour lesquels les perturbations des 
marches ne permettent plus d’ observer un prix de marche fiable. 

Cette recommandation vise a apporter les clarifications necessaries pour l’arrete des 
comptes intermediaires ou annuels clos a partri du 30 septembre 2008. Elle 
s’appbque aux comptes consohdes, etablis selon les normes IFRS en vigueur, telles 
qu’adoptees par l’Union europeenne, des entries detenant des actifs financiers valo- 
rises a la juste valeur et pour lesquels les marches sont inactifs (cas d’une crise bour- 
siere ou le cours ne reflete plus la valeur d’une entreprise). 

Dans le contexte actuel, la valeur de marche de certains actifs financiers n’est pas, a 
elle seule, pertinente et ne permet pas une bonne appreciation de la situation finan- 
ciere et des resultats des entreprises. 

En outre, la determination de la juste valeur de certains instruments financiers, dont 
la variation de valeur affecte le resultat ou les capitaux propres, souleve des difficultes 
pratiques importantes, tant pour les preparateurs que pour les commissaires aux 
comptes et les utibsateurs de l’information. 

A cet egard, les quatre autorites prennent bonne note de la communication 
conjointe de la Securities and Exchange Commission (SEC) et du FASB du 
30 septembre 2008, et de la publication du FASB du 10 octobre (FSP FAS 157-3), 
qui apportent des clarifications utiles sur la comptabihsation a la juste valeur des 
actifs financiers lorsque les marches ne refletent plus la valeur des groupes. 
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Les autorites precitees prennent egalement acte des declarations de 1’IASB des 2 et 
14 octobre 2008, qui indiquent que les clarifications apportees par la SEC et le 
FASB sont conformes a la norme IAS 39 « Instruments financiers : comptabilisation 
et evaluation ». 

Les clarifications evoquees dans ces communications, qui ont l’agrement des quatre 
autorites et s’appliquent dans le cadre de la norme IAS 39 en situation de marche 
inactif, portent sur l’utilisation des hypotheses developpees par l’entreprise en 
l’absence de donnees de marche pertinentes. 

Lorsque les marches sont en crise, l’utilisation d’hypotheses internes developpees par 
la compagnie relative aux flux de tresorerie futurs, et de taux d’actualisation correc- 
tement ajustes des risques que prendrait en compte tout participant au marche 
(risque de contrepartie, de non-performance, de liquidite ou de modele notam- 
ment) est justifiee. Ces ajustements sont pratiques de maniere raisonnable et appro - 
priee, apres examen des informations disponibles. 

Cette reforme de la norme IAS 39 autorise done les compagnies d’assurances a 
concevoir des modeles internes s’appuyant sur des modeles devaluation des titres 
perfectionnes, tels que : 

• methode des comparables ; 

• methode du fair value rating, basee sur la construction d’une grille de scoring strate- 
gique et financiere permettant de definir une prime de risque ; 

• la place des cotations de courtiers dans 1’ appreciation des informations disponibles ; 

• dans le contexte d’un marche inactif, les cotations des courtiers ne sont pas neces- 
sairement representatives de la juste valeur, lorsqu’elles ne sont pas le reflet de 
transactions intervenant sur le marche ; 

• la place des transactions forcees dans la determination de la juste valeur. 

Les transactions resultant de situations de ventes forcees n’ont pas a etre prises en 
compte pour la determination de la juste valeur d’un instrument financier. 

En periode de marche illiquide, il n’est pas approprie de conclure que toute l’acti- 
vite de marche traduit des liquidations ou des ventes forcees. Cependant, dans ces 
memes conditions, il n’est pas non plus approprie de conclure que tout prix de tran- 
saction observe est necessairement representatif de la juste valeur. 

L’ appreciation du caractere force d’une transaction repose sur l’exercice du jugement. 
Notamment sur les prix de transactions observes sur un marche inactif. Les prix des 
quelques transactions qui interviennent sur un marche inactif sont une donnee a 
prendre en consideration dans la valorisation d’un instrument financier, mais ne 
constituent pas necessairement une composante determinante. 

La determination du caractere actif ou pas d’un marche, qui peut s’appuyer sur des indi- 
cateurs tels que la baisse significative du volume des transactions et du niveau d’activite 
j sur le marche, la forte dispersion des prix disponibles dans le temps et entre les differents 
J. intervenants de marche ou le fait que les prix ne correspondent plus a des transactions 
o. suffisamment recentes, requiert, en tout etat de cause, l’utilisation du jugement. 
o Enfin, les quatre autorites prennent acte de l’adoption par 1’IASB, le 13 octobre 2008, 
® de la revision de la norme IAS 39 en vue de permettre le reclassement de certains 
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instruments financiers en titres detenus a echeance, et ce, conformement aux souhaits 
exprimes lors de la reunion Ecofin precitee. 

Depreciation sur actifs de placement 

Ce risque se materialise par une sous-performance des immeubles de placement en 
contrepartie de provisions techniques (IAS 40), dans l’hypothese ou les revenus locatifs 
generes sont structurellement inferieurs aux previsions etablies et communiquees. 

Depreciation sur participations non cotees 

Ce risque se traduit par la realisation d’un test de depreciation dans l’hypothese ou la 
performance attendue par la participation dans une societe non cotee ne se materia- 
liserait pas (pas de versements de dividendes ou dividendes encaisses structurellement 
inferieurs aux previsions). 

Ce type de depreciation aura obligatoirement un impact sur le goodwill associe dans 
l’hypothese ou le business plan de la societe cible ne se materialiserait pas. 

Les risques lies aux mandats de gestion d'actifs 

Les risques lies aux mandats de gestion, aussi bien pour le compte de filiales intra- 
groupes ou pour le compte de clients tiers, sont des risques significatifs que doivent 
gerer les groupes d’assurances. Le dispositif de risk management lie a la gestion 
d’actif se decompose en six etapes. 

Elaboration du business plan 

Les principaux risques identifies a ce niveau sont les suivants : 

• analyse strategique non ou mal realisee (forces, faiblesses, menaces et opportunites) ; 

• erreur dans les estimations de cash-flows generes par les actifs subordonnes. 

Audit des contraintes reglementaires du client 

Le principal risque identifie a ce niveau est un risque de legalite (infraction a une 
reglementation en vigueur) concemant le droit obhgataire, le droit des societes, le 
droit fiscal dans le cadre de 1’ evaluation des contraintes reglementaires liees au 
mandat de gestion previsionnelle confie par le client. 

Definition du cadre de gestion 

Le risque principal a cette etape est un risque d’infraction a la separation des pouvoirs des 
acteurs demandee en termes de mandats de gestion (depositaire, gestionnaire, etc.). 

Le cadre de gestion doit decrire les modalites de fonctionnement entre ces differents 
acteurs, les flux d’informations associes (dont le reporting sur la performance des 
actifs), les modalites de gestion de contentieux eventuels (integration ou non d’une 
clause de renonciation a recours) . 

Proposition d'allocation d'actifs 

Le principal risque identifie a ce niveau est un risque de non-respect du couple 
risque/rendement associe au mandat de gestion previsionnelle. 
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Ce risque peut etre prevu en utilisant des modeles de gestion de portefeuiUe tels que : 

• la droite de marche (modele de Modigliani et Miller) pour les portefeuilles a domi- 
nante actions, modele postulant que la rentabilite previsionnelle d’une action depend : 

— de la rentabilite financiere previsionnelle du marche (mesuree par un indice 
boursier), 

— du risque exogene, 

— du risque endogene de la societe (evalue par l’effet de levier d’ exploitation) ; 

• le Modele d’equilibre des actifs financiers (Medaf) pour les mandats de gestion 
bases sur des actifs subordonnes a dominante obligation. Ce modele considere que 
chaque obligation emise par un groupe de droit prive doit proposer une prime de 
risque completant un rendement moyen observe sur le marche obligataire a risque 
nul (garanti par l’Etat) . 

Mise en oeuvre de I'allocation d'actifs 

II existe de nombreux facteurs de risques lies a I’allocation effective des actifs subor- 
donnes lies aux mandats de gestion : 

• decalage sur mix par rapport a la proposition initiale ; 

• non-optimisation dans l’encaissement des dividendes, des coupons, des produits 
financiers par le gestionnaire ; 

• erreurs sur operations titres lors des passations d’ achat ou de vente, non-realisation 
ou retard de realisation des transactions pouvant se traduire par un prejudice 
(moins-value) pour le client. 

Reporting 

Dans ce domaine les principaux risques a anticiper sont les suivants : 

• erreur dans le reporting (releves de performance) se traduisant par un prejudice ou 
par une plus-value non fondee avec exercice de cette demiere pour le client ; 

• retard de production du reporting lie, par exemple, a un dysfonctionnement des 
systemes d’information du gestionnaire. 

Risque en propre des filiales (recapitalisation) 

Ce risque se materialise par 1’ obligation de recapitaliser une filiale strategique, quelles 
que soient les raisons de cette capitalisation (marche en baisse, secteur en phase de 
declin, etc.), ou de lui accorder des prets intragroupe a des taux bonifies limitant 
ainsi la capacite du groupe d’assurances a financer la croissance d’autres entries du 
groupe perennes. 


Le processus de la mise sous controle des risques operationnels 

La mise sous controle des risques operationnels necessite une organisation specifique 
du dispositif de risk management afin de garantir son efficacite. 


122 Partie 3 - La banque ou la compagnie d'assurances hors risque 


['organisation du dispositif de risk management au sein des groupes 
d'assurances 

Au sein du groupe d’assurances, la direction du risk management a pour objectifs 
l’identification, la quantification et la gestion des principaux risques auxquels le 
groupe est expose. Pour ce faire, des methodes et des outils de mesure et de suivi, 
proposes dans cet ouvrage, sont developpes par la direction risk management. 

Ce dispositif permet de proposer une gestion optimale des risques pris par le groupe 
et de contribuer, d’une part, a la diminution de la volatilite des resultats grace a la 
fixation de normes conduisant a une meilleure appreciation des risques pris et, 
d’autre part, a une optimisation des fonds propres alloues par le groupe d’assurances 
a ses differentes activites. 

La fonction de risk management au sein du groupe est en general coordonnee par 
une equipe centrale, laquelle est relayee par des equipes de risk management locales 
(par zone geographique a l’international pour les groupes cotes) dans chaque entite 
operationnelle du groupe. 

Les principes et priorites de la fonction risk management 
dans le secteur assurance 

Afin d’apporter une contribution tangible et mesurable aux activites du groupe, la 
fonction risk management doit etre construite au sein d’un groupe d’assurances 
autour de trois orientations strategiques : 

• une approche pragmatique centree sur des priorites clairement identifiees ; 

• une approche operationnelle en liaison directe avec les activites du groupe ; 

• une approche decentralisee basee sur le principe de subsidiarite en ligne avec 
l’organisation generale du groupe d’assurances. 

Le risk management se doit d’avoir cinq missions prioritaires : 

• le pilotage et le suivi de la gestion actif-passif ainsi que la mise en oeuvre des tra- 
vaux de capital economique ; 

• l’approbation prealable au lancement des nouveaux produits et la promotion de 
l’innovation en matiere de produits ; 

• la gestion des expositions d’ assurance qui comprend notamment la revue des pro- 
visions techniques et roptimisation des strategies de reassurance ou de coassurance 
en tant que cedante ou en tant que cessionnaire ; 

• l’identification et la mesure des risques operationnels ; 

• la gestion des systemes d’information : outils de projection, de simulation, de 
mesure de risques, d’agregation et de reporting. 

Le dispositif de reporting risk management 

La structure groupe doit etre principalement organisee autour d’un directeur du risk 
management. Ce dernier doit etre place sous l’autorite du comite des risques, qui est 
responsable de la definition des standards methodologiques du groupe d’assurances 
concemant les principaux risques. 
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Cela inclut le developpement et le deployment d’outils de mesure et de gestion du 
risque (dont les bases incidents permettant de mesurer la sinistralite interne du groupe). 
Cette direction doit coordonner egalement les processus de detection et de 
gestion des risques au niveau du groupe et indirectement au niveau des filiales. 
Cela inclut notamment l’ensemble des procedures de reporting de risque et leur 
agregation au niveau mondial. Enfin, cette direction se doit de coordonner les 
equipes locales (zones geographiques) de risk management des differentes filiales 
du groupe. 

Risk managers par zone geographique ou locaux 

Les equipes locales de risk management doivent etre en charge de l’application des 
standards groupe en matiere de gestion des risques d’une part, et de la mise en 
oeuvre des exigences minimales definies par la direction d’autre part. 

Ce mode d’ organisation permet la mise en oeuvre effective du dispositif de risk 
management en ce qui concerne l’etude des risques ci-dessous. 

La mise sous controle des risques operationnels 
Risque d'irregularite relative aux contrats 

La non-conformite des contrats integre un certain nombre de sous-cas de figure : 


Risque d’irregularite relative aux contrats 


Carences concernant I’exhaustivite du contrat 
ou la conformite des produits aux reglemen- 
tations 

Defaut de formalites substantielles, informa- 
tions erronees sur les caracteristiques du pro- 
duit, engagement sur une performance 
financiere non tenue 

Insuffisance du formalisme juridique 

Transactions ou pratiques non compatibles 
avec les normes groupe 

Non-actualisation du contenu des contrats 

Utilisation de documents dont le format est 
non valide, denonciation hors delai 

Insuffisance concernant I’obligation de 
moyens en matiere de performance 

Defaut de conseil, manquements lies aux con- 
ditions necessaires de la prestation 

Pas de respect des engagements contrac- 
tuels 

Non-respect des clauses des contrats clients, 
des contrats de partenaires et parties liees, de 
fournisseurs 

Erreur d’interpretation ou d’analyse 

Liee a la complexite de la redaction, a des 
clauses optionnelles, a la non-comprehen- 
sion linguistique, a la meconnaissance d’un 
systeme juridique etranger 
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Ces risques se materialiseront par une remise en cause de la responsabilite civile, par 
des pertes fmancieres et une perte d’image pour la compagnie d’assurances (risque 
assurable pouvant etre couvert par une police responsabilite civile professionnelle). 

Risque de non-conformite reglementaire 

Ce risque integre un certain nombre de cas de figure presentes ci-dessous. La mate- 
rialisation de ces risques aura un impact au civil et/ou au penal. 

Risque de non-conformite reglementaire 


Infraction a la reglementation 
et aux obligations contractuelles 

Infraction a la legislation sociale sur le fonctionnement des 
instances representatives et sur les regies applicables aux 
personnes (par exemple : absence d’instance, entrave, dis- 
crimination, marchandage, harcelement sexuel, temps de 
travail...) ; 

infraction aux regies applicables aux societes cotees ou 
emettant des emprunts obligataires ou des actions (par 
exemple : segment reporting 3 , interim reporting b , formalites 
de publicity, cumul des mandats) ; 
infraction aux regies de fonctionnement des instances de 
gouvernance (par exemple : formalites, pouvoirs, inge- 
rence...), infraction fiscale, (par exemple : TVA, IS...) ; 
infraction aux regies Cnil, violation du secret medical, infrac- 
tion aux regies antiblanchiment ou financement du terro- 
risme, non-respect d’une obligation d’assurance 

Ignorance de la reglementation 

Droit de la concurrence, droit civil et penal, droit des assu- 
rances, droit social, droit fiscal, droit des societes, droit des 
affaires, droit de la concurrence 

Erreur d’interpretation et de 
qualification 

Droit social, droit fiscal, droit des societes 

Litiges et contentieux 

Avec les clients, les prestataires et partenaires, les salaries 
(licenciement, sanctions disciplinaires) 

Evolution negative de la juris- 
prudence 

Absence de jurisprudence, revirement, 

(par exemple : requalification des contrats d’assurance ...), 
limitation de I’exercice professionnel 

Erreur d’interpretation face a 
une nouvelle reglementation 

Textes d’application non parus, conflit d’interpretation, 
jurisprudence contradictoire, absence de precedent 

Meconnaissance d’un change- 
ment de reglementation 

Regies nationales ou internationales, insuffisance de la veille 
reglementaire, manque d’anticipation 


a. Etats financiers par branche. 

b. Arrete des comptes trimestriels. 
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Les consequences au civil d’une infraction aux contraintes reglementaires peuvent 
etre couvertes par une police d’ assurance responsabilite civile mandataires sociaux. 
La souscription d’une telle police, meme si elle revet un caractere legal et vise a 
limiter le prejudice cause par un acte delictuel commis par un mandataire social, 
outre le fait qu’elle peut sembler choquante d’un point de vue moral ou ethique, 
pose des problemes de conformite en termes de gouvemance. 


Exemple de police d’assurance RC mandataires sociaux d’un groupe banque/assurance 


RC mandataires sociaux 

Faits generateurs 

Infraction en matiere bancaire et boursiere 

Infraction par rapport a la reglementation AMF 

Delit de manipulation des cours 


Delit d’initie 


Delit de fausses informations 


Erreurs dans la gestion de comptes bancaires, dans I’utilisation de services ou operations de 
caisse 

Pratiques, pouvant mettre en peril la marge de solvability 
de la compagnie ou I’execution des engagements con- 
trades envers les assures, societaires adherents ou 
ayants droit 


Omission de transmission ou retard de transmission dans 
le rapport joint au rapport de gestion des conditions de 
preparation et d’organisation des travaux du conseil ainsi 
que les procedures de controle interne mises en oeuvre 
(article 1 1 7, loi 1 er aout 2003) 


Faute de gestion 


Imprudence ou imprevoyance dans la gestion du patri- 
moine social 


Abstention fautive 


Abus de biens sociaux 


Responsabilite pour violation d’un texte 


Violation de la loi 


Violation des statuts sociaux 


Infraction fiscale 


Extension a directeur general delegue 


Au sens loi NRE (nouvelles regulations economiques) 
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Risques lies a un dysfonctionnement des systemes d'information 

Les compagnies d’assurances, du fait du caractere immateriel de leurs prestations et de la 
montee en puissance des prestations informatisees (souscription de polices en ligne par 
exemple), sont tres sensibles au risque informatique physique (destruction d’une salle 
Sexploitation, d’une salle reseau) ainsi qu’au risque immateriel (contamination virale, etc.). 


Risques lies aux systemes d’information 


Inadaptation de la configuration des materiels 

Analyse des besoins incomplete, sous-dimen- 
sionnement des serveurs et/ou des reseaux, 
surdimensionnement, inadequation des choix 
techniques, obsolescence 

Inadaptation de la maintenance 

Indisponibilite des materiels et des reseaux, 
indisponibilite des outils de communication 
avec les partenaires, pannes des materiels ou 
liees a un dysfonctionnement de I’environne- 
ment physique des materiels, delai/couts de 
maintenance eleves, non-respect des proce- 
dures de maintenance 

Inaccessibility physique 

Accident, blocage ou greve, malveillance, 
sinistre 


Les consequences d’un tel risque informatique physique seront les suivantes : 

• pertes materielles affectant le patrimoine informatique, quelle que soit sa qualifica- 
tion juridique ; 

• pertes d’ exploitation liees a l’interruption de l’exploitation informatique (et done 
l’impact sera limite par la capacite de mettre en oeuvre tres rapidement le plan de 
reprise informatique) ; 

• responsabilite civile generee par les dommages immateriels causes aux clients et socie- 
taires (incapacite de realiser certaines transactions creant un prejudice a l’assure) ; 

• pertes humaines (en cas de deces affectant un salarie de la compagnie) ; 

• risque informatique immateriel. 

Ce risque est un risque majeur pour les compagnies d’assurances, compte tenu du 
caractere exorbitant des fiais de reconstitution des medias. De nombreuses compa- 
gnies, en raison du caractere inacceptable de ce scenario, investissent de fafon 
majeure a titre preventif dans une deuxieme salle d’ exploitation ou signent des 
contrats de back-up avec des constructeurs et des structures d’infogerance. 
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Les differents cas de figure concernant le risque systemes d’information 


Architecture applicative inadaptee 

Doublons, absence de donnees, alimentation 
automatique non prevue, modularity insuffi- 
sante, sur ou sous-dimensionnement 

Inadequation de la conception des appli- 
cations 

Analyse des besoins incomplete, non-confor- 
mite par rapport aux besoins definis, volume 
de traitement insuffisant, delai/reactivite insuf- 
fisante, besoins fonctionnels mal identifies ou 
definis 

Inadequation de la maintenance 

Indisponibilite des applications, cout/delai 
trap long, non-respect des procedures de 
maintenance, non-tragabilite des interventions 
de maintenance, rupture unilateral du contrat 

Erreur applicative 

Double traitement/absence de traitement, 
erreur de programmation lors de la concep- 
tion ou de la maintenance, retard de realisa- 
tion de la transaction 

Intrusion, criminalite 

Introduction d’un virus, utilisation non autori- 
see de ressources informatiques, criminalite 
informatique 

Alteration des donnees 

Non-integrite des donnees, donnees erro- 
nees ou effacees, destruction de fichiers, sau- 
vegarde oubliee ou perdue, malveillance, 
archives vives non identifies 

Confidentiality non respectee 

Divulgation d’information a des tiers non auto- 
rises, divulgation de regies de gestion, secu- 
rity logique insuffisante 

Indisponibilite des donnees 

Panne, accident, sinistre, greve, non-respect 
des delais de mise a disposition de la part 
d’un prestataire 

Carence de pistes d’audit 

Impossibility de reconstituer un echange 
d’information, la valeur d’une donnee, de jus- 
tifier d’un retraitement 
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Risques de dommages aux biens et aux personnes 

Meme si ce risque semble etre moins significatif que dans les groupes industrials (parfois a 
risques hautement proteges), il est cependant necessaire de pas negliger ce type de risque au 
sein des compagnies d’assurances, compte tenu de l’impact mediatique pouvant etre genere 
par un incendie majeur et surtout par le deces d’un salarie ou d’un tiers. Les difierents cas 
de figure a mettre sous controle par le risk manager de la compagnie sont les suivants : 


Risques de dommages aux biens et aux personnes 


Atteintes a la sante du fait de I’environnement 

Amiante, legionellose, contamination, intoxi- 
cation, maladies professionnelles reperto- 
riees ou non 

Atteintes a la sante du fait de I’activite exercee 

Affection liee au poste de travail, audition, 
vision, stress, menaces, harcelement 

Accidents du fait de I’environnement 

Incendie, electrocution, chute, inondation 

Accidents du fait de I’activite exercee 

Accidents de la circulation, brulure, manuten- 
tion de charges, greve 

Atteinte a I’integrite physique 

Agression, attentats, prise d’otage(s) 

Indisponibilite des locaux d ’exploitation 

Occupation des locaux, incendie, inondation, 
attentat 

Sinistre relatif aux batiments 

Incendie, inondation, rupture de structure, 
explosion, defaillance du batiment 

Indisponibilite des materiels 

Materiels non conformes, defectueux, non 
livres 

Rupture d’approvisionnement 

Gaz, eau, electricite, chauffage, fournisseurs 
strategiques 

Vol, degradation 

Destruction des biens, vols de materiels, vols 
d’objets personnels, irruptions de personnes 
externes 


Les consequences d’un tel risque (pertes materielles, pertes d’ exploitation, pertes 
humaines, cout de la responsabilite civile, impact sur l’image) seront d’autant plus 
limitees que la compagnie aura decrit les processus critiques avant sinistre, qu’elle 
aura modelise et teste ses plans de continuite de 1’ exploitation. 

Risque social et humain 

Les limites entre management des ressources humaines et risk management sont 
parfois difHciles a cemer. 
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Et pourtant, les frontieres des deux fonctions sont clairement delimitees : 

• a la DRH de coordonner la strategic de gestion des ressources humaines et la ges- 
tion des relations sociales et, en cas de greve, de jouer le role de mediateur ; 

• au risk manager de la compagnie de mettre en oeuvre, en cas de greve, les plans de 
continuite concernant les metiers critiques et de prioriser le redeploiement des 
acteurs cles sur des sites de back-up non risques (tresorerie, actuariat, call center, 
exploitation informatique, etc.) . 

Les differents risques associes a ce dispositif sont les suivants : 


Risque social et humain 


Carences de personnels 

Sous-effectifs, dependance vis-a-vis de res- 
sources rares, depart de personnes cles, 
recours a des ressources precaires ou exter- 
nes sur fonctions sensibles, mobilite exces- 
sive des equipes, marche de I’emploi en crise 

Inadequation des postes et des competences 

Recrutement inadapte, formation inadaptee, 
profils sur ou sous-dimensionnes 

Ressources inemployees 

Sureffectifs, formation inutilisee, potentiel non 
detecte 

Demotivation 

Esprit d’entreprise, motivation des equipes, 
desimplication, pas d’adhesion a la culture 
d’entreprise 

Manquements dans la production de donnees 
employeur 

Non-production des liasses sociales 

Non-respect de la protection des donnees 
individuelles des salaries 

Vie privee, sante, sexualite 

Conflits collectifs 

Greve, contestations syndicales, manifesta- 
tions, infraction au droit social 

Infraction aux regies ethiques de I’entreprise 

Non-respect de la deontologie profession- 
nelle, infraction au reglement interieur, alcoo- 
lisme, drogue, utilisation des ressources de 
I’entreprise a des fins personnelles, divulga- 
tion d’informations, non-exercice du devoir 
d’alerte, clause de conscience non appliquee 
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Risque administratif et comptable 

Cette typologie de risque concerne en priorite le dispositif de production des etats 
financiers, et de reporting financier des compagnies d’assurances. 

L’objectif est de s’assurer de la sincerite de la production des etats financiers en 
conformite avec le referentiel IFRS et ou US GAAP et, en particular, avec la 
norme IFRS4 (actif et passif d’assurance). 

La non-sincerite des comptes peut provenir soit de dysfonctionnements imputables 
au processus comptable lui-meme (retard de production, deperdition de flux comp- 
tables, etc.), mais aussi d’anomalies venant des activites metiers et deportees sur le 
processus comptable. Le role du risk manager consiste done a faire comprendre aux 
managers operationnels l’importance de la mise sous controle de leurs activites en 
termes de sincerite des comptes (souscription, reglement de sinistre, reconnaissance 
du chiffre d’affaires, constitution des provisions techniques, etc.). 

Le risk manager doit, de concert avec la direction du controle permanent et de 
l’audit interne de la compagnie d’assurances, s’assurer de l’existence d’un plan 
d’arretes de comptes en cas de gestion de crise, couple a un plan de reprise d’activite 
informatique (en fixant des scenarii acceptables de production des etats financiers en 
accord avec les co-commissaires aux comptes) . 

En ce qui concerne cette typologie de risque, les differentes composantes a mettre 
sous controle sont les suivantes : 


Risque comptable 


Non-respect des normes reglementaires 
French GAAP-Domestic GAAP -IFRS -US 
GAAP 

Non-application des normes, amenagement, 
detournement 

Non-respect des procedures internes 

Procedures incoherentes, ignorees, non com- 
prises 

Erreur 

Erreur de parametrage ou de table, erreur de 
saisie, d’imputation, de valeur, non-saisie de 
donnees 

Carence des controles 

Absence de suivi des corrections, reporting 
insuffisant ou inexact des etats financiers 

Manquements dans la production 
des comptes 

Oubli d’etats legaux, inexactitude ou retard 
des declarations comptables 

Remise en cause des regies applicables aux 
societes d’assurances 

Modification des dispositions fiscales applica- 
bles aux societes (IS, plus-value), changement 
des normes comptables IFRS ou US GAAP 
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Risque lie a la communication 

La communication financiere, tout comme la communication produit des compa- 
gnies d’assurances, qu’elle soit a forme societaire, mutualiste ou quasi mutualiste, 
s’avere etre un domaine tres sensible necessitant de mettre en oeuvre des dispositifs 
specifiques rattaches a la gouvemance. 

D’une part, les exigences en termes de communication financiere ne font que 
s’accroitre via la reglementation (cf. la directive « transparence » intra-Union 
europeenne) imposant aux groupes cotes de communiquer leurs previsions 
budgetaires par trimestre, ainsi que la realite comptable dans les memes delais 
(inter-reporting) . 

La production d’un rapport d’activite est aujourd’hui tres complexe, incluant, outre 
les etats financiers consolides, le segment reporting (chiffres cles par unite d’affaires 
et zone geographique), les comptes consolides profonna (en cas de changement de 
perimetre de consolidation), les documents suivants : 

• rapport strategique ; 

• rapport du president du conseil sur le controle interne (passant d’une demarche 
declarative a une vision evaluative) ; 

• rapport sur le management durable de l’environnement ; 

• rapport sur le dispositif de risk management. 


L’ ensemble de ce rapport d’activite est ainsi passe au crible par les analystes, le 
marche etant sensible a tout ecart de communication entre les previsions et la 
realite (ce qui peut se traduire pour les groupes cotes par un profit warning). 
D’autre part, la communication sur les differents produits est aussi excessi- 
vement sensible surtout en ce qui concerne une eventuelle performance 
annoncee portant sur les produits financiers geres par mandats de gestion ou 
portant sur les OPCVM. Tout decalage entre la performance previsionnelle 
prevue d’un point de vue contractuel et la performance reelle des actifs subor- 
donnes peut se traduire par une eventuelle remise en cause de la responsabilite 
civile de la compagnie d’assurances. 
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Differents risques concernant le dispositif de communication externe 


Communication 

financiere 

Non-fiabilite de la communi- 
cation financiere 

Informations financieres erronees, 
incompletes, tardives 

Non-acceptabilite par le mar- 
che de la communication 
financiere 

Messages contradictoires emis par differents 
services ou societes du groupe, messages non 
credibles, non convaincants, retard de com- 
munication 

Communication 

institutionnelle 

Perte de notoriete 

Baisse de la notoriete spontanee ou assis- 
tee, communication inadaptee 

Inadaptation des messages 

Communication en decalage avec les valeurs 
traditionnelles de I’entreprise, communica- 
tion pergue comme choquante 

Risque de 

communication 

client 

Inadaptation des messages 
clients 

Campagne clients « agressive », adhesion 
forcee, contenu des messages pergu 
comme choquant, boycott 

Mauvais planning des actions 
de communication 

Superposition de campagnes, lassitude 
de la clientele, surexposition 


Conclusion 

L es fondements du liberalisme economique ont toujours mis en evidence la mise 
sous controle du risque entrepreneurial. 

Historiquement, le droit des societes a ete congu pour faciliter la croissance des 
entreprises, tout en limitant le risque patrimonial de l’entrepreneur. 

L’emergence d’un systeme economique neoliberal conforte par l’adoption du 
referentiel de controle interne au sein de l’Union europeenne a fait apparaitre, 
de la fin xix e siecle au debut du xx e siecle, la necessite de mettre sous controle 
aussi bien les risques de sinistralite (corporate risk management) que les risques 
strategiques (business risk management) en vue de proteger les objectifs decrits 
dans le plan et la remuneration de l’actionnaire. 

Les recents scandales financiers ont fait ressortir les insuffisances conceptuelles des 
referentiels de controle interne (dont le COSO), ou les limites dans les modalites de 
mise en oeuvre. 

L’efficacite des dispositifs de risk management, quant a elle, concemant les risques 
tangibles (IARD, informatique), semble averee, a la difference de l’efficacite de la 
mise sous controle des risques immateriels (par exemple, du risque de fraude). 

Reste une problematique majeure : la pertinence dans la realisation des cartogra- 
phies de risques et de l’actualisation de leurs contenus (comment s’assurer d’une 
identification rationnelle et objective des risques significatifs pouvant affecter la 
perennite de l’entreprise ?). Reste aussi ouverte la question portant sur les leviers 
d’action permettant d’augmenter l’efficacite du dispositif de risk management au 
sein des groupes industriels, bancaires et d’ assurances. 

De notre point de vue, il s’avere necessaire de remettre du bon sens dans faction et 
dans la decision, en arretant de se proteger derriere des methodologies censees 
permettre une couverture parfaite de ces risques. II est necessaire de renforcer 
f engagement des dirigeants dans la mise en oeuvre d’un dispositif, qu’ils se doivent 
de porter au titre de leur responsabilite entrepreneuriale. 

Les preconisations du rapport Ricol vont dans ce sens, en pronant une augmenta- 
tion de la responsabilite penale des mandataires sociaux. 

De meme, f allocation des fonds propres par metier, en fonction de la qualite de la 
couverture des risques, semble etre une priorite de la nouvelle reglementation que le 
legislateur envisage pour faire monter en puissance les dispositifs de risk mana- 
gement des groupes cotes. 

Nous esperons que cet ouvrage contribuera a redonner un sens a la construction 
d’un dispositif de risk management au sein de votre entreprise. 
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Societe generale : une depreciation de 7 milliards d'euros 

La mauvaise nouvelle est tombee. Depuis plusieurs semaines, les rumeurs allaient 
bon train sur les marches. Des craintes plus que fondees puisque la Societe generale 
a revele, jeudi 24 janvier 2008, qu’elle doit lever 5,5 milliards d’euros apres la 
decouverte d’une fraude et le passage de nouvelles depreciations d’actifs pour son 
exposition aux subprimes. Daniel Bouton a presente sa demission au conseil d’ admi- 
nistration de la Societe generale, qui l’a rejetee et lui a renouvele toute sa confiance 
ainsi qu’a l’equipe de direction. 

C’est un cataclysme pour le secteur bancaire fran^ais. Apres des mois de messages 
rassurants sur la solidite de son activite et sa faible exposition aux subprimes, la 
Societe generale avoue ce jeudi avoir ete victime d’une fraude au sein de son acti- 
vite de courtage qui se monte a 4,9 milliards d’euros, auxquels s’ajoutent 2 milliards 
de depreciations liees a la crise des subprimes, soit un total de 6,9 milliards d’euros, 
un montant similaire a celui des banques americaines Citigroup ou Merrill Lynch. 
Comme pour Calyon, la banque d’investissement du Credit agricole, la Societe 
generale a ete victime de l’exposition d’un trader courant 2007 et debut 2008, en 
charge d’activites de couverture de futures sur des indices boursiers europeens. « Sa 
connaissance approfondie des procedures de controle, acquise lors des precedentes 
fonctions, lui a permis de dissimuler ses positions grace a un montage elabore de 
transaction fictives », precise le groupe dans son communique. 

Des declarations qui laissent perplexes certains observateurs. Comment un seul 
homme, Jerome Kerviel, peut-il faire perdre autant d’ argent a une banque qui, 
depuis des annees, a fait du controle des risques son cheval de bataille ? C’est a se 
demander, estiment certains, si la Societe generale ne profite pas de cet incident 
pour cacher et masquer des problemes bien plus importants sur sa prise de risques sur 
les subprimes. 
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Questionnaires risk management 


Cartography des risques 


Critere 

Poids 

Note 

Note 

globale 

1 

Avez-vous realise un mapping systematique 
des risques par macro et microprocessus ? 

4 



2 

L’analyse des faits generateurs a-t-elle fait 
I’objet d’une validation par le comite d’audit 
et les commissaires aux comptes (C&C) ? 

1 



3 

L’analyse des consequences des dysfonction- 
nements affectant les processus a-t-elle fait 
I’objet d’une validation par les C&C et le 
comite d’audit ? 

2 



4 

La cartography des risques a-t-elle fait 
I’objet d’un dispositif specifique pour les pro- 
cessus ayant un niveau de materialite eleve ? 

1 



5 

La quantification des pertes humaines par 
sinistre maximum possible a-t-elle ete 
realisee ? 

4 



6 

La quantification des pertes materielles par 
SMP a-t-elle ete realisee ? 

4 



7 

La quantification des pertes d’exploitation 
par SMP a-t-elle ete realisee ? 

3 



8 

La quantification ou I’impact financier du 
cout de la responsabilite civile ont-ils ete 
chiffres ? 

3 



9 

La quantification des pertes maximum possi- 
bles a-t-elle ete mise en relation avec la 
capacite d’acceptation des risques ? 

4 



10 

La valeur residuelle a-t-elle ete determinee 
comme etant la difference entre le cout du 
risque et la valeur indemnisable ? 

4 




Total 

30 
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Prise de risques 


Critere 

Poids 

Note 

Note 

globale 

1 

La cartographie est-elle realisee par macro- 
risques purs et speculates ? 

4 



2 

Les consequences financieres d’un sinistre 
financier maximum sont-elles evaluees ? 

1 



3 

Les consequences strategiques d’un sinistre 
maximum possible sur les objectifs strategi- 
ques du groupe sont-elles evaluees ? 

2 



4 

La cartographie des risques a I’international 
a-t-elle ete realisee ? 

1 



5 

Les risques DIL (difference in limit) ont-ils ete 
identifies ? 

4 



6 

Les risques DIC (difference in condition) ont- 
ils ete identifies ? 

4 



7 

Les risques emergents (risques purs non 
assurables) ont-ils ete identifies ? 

3 



8 

Les techniques liees aux financements alter- 
nates ont-elles ete envisagees (reassurance 
financiere, systemes captifs de reassurance, 
captives a compartiments...) ? 

3 



9 

Les plans de reprise d’activite sont-ils prevus 
par processus critiques ? 

4 



10 

Les plans de reprise d’activite sont-ils testes 
regulierement ? 

4 




Total 

30 
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Evaluation des consequences 


Critere 

Poids 

Note 

Note 

globale 

1 

Vous appuyez-vous sur votre dispositif de 
controle de gestion pour evaluer les sinistres 
maximums possibles par centre de risque ? 

4 



2 

Pour estimer les pertes materielles, prenez- 
vous en compte la valeur expertisee des 
immobilisations mises sous controle ? 

1 



3 

Pour estimer les pertes d’exploitation, vous 
basez-vous sur la differenciation entre char- 
ges fixes et variables au sein du compte de 
resultat par centre de risque avant sinistre ? 

2 



4 

Pour estimer les pertes humaines concernant 
les salaries, vous basez-vous sur I’indemni- 
sation a minima prevue par la Security 
sociale ? 

1 



5 

Pour estimer les pertes humaines concernant 
les salaries, vous basez-vous en deuxieme 
ligne sur les capitaux prevus dans la police 
collective « deces invalidity » ? 

4 



6 

Pour estimer le cout de la responsabilite 
civile par scenario de crise, analysez-vous la 
jurisprudence anterieure sur des cas 
similaires ? 

4 



7 

Pour estimer le cout de la responsabilite 
civile par scenario de crise, et en I’absence 
de jurisprudence anterieure, estimez-vous le 
risque de fagon qualitative ? 

3 



8 

L’estimation des pertes d’exploitation prend- 
elle en compte les modalites de back-up 
identifies en preventif ? 

3 



9 

L’estimation des frais de reconstitution des 
medias prend-elle en compte I’identification 
des applicatifs critiques realises 
prealablement ? 

4 



10 

L’estimation des frais de retrait des produits 
du marche, et/ou des frais de communica- 
tion de crises associees, prend-elle en 
compte les scenarii de retrait des produits du 
marche anticipe ? 

4 




Total 

30 
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Analyse causale des risques 


Critere 

Poids 

Note 

Note 

globale 

1 

Tous les cas de figure lies a la criminalite 
externe ont-ils ete envisages ? 

4 



2 

Tous les cas de figure lies a la criminalite 
interne ont-ils ete envisages ? 

1 



3 

Tous les cas de figure lies aux sinistres exo- 
genes ont-ils ete identifies ? 

2 



4 

Les risques purs pouvant etre mis sous con- 
trole a titre preventif par le CEO ont-ils ete 
inventories (notion d’element inhabituel) ? 

1 



5 

Les risques purs ne pouvant etre anticipes 
par le CEO ont-ils ete clairement delimites 
(« Act of God, extraordinary items ») ? 

4 



6 

Tous les risques lies a une insuffisance ou a 
une defaillance de la maintenance preventive 
ont-ils ete identifies ? 

4 



7 

Tous les risques lies a une insuffisance ou a 
une defaillance de la qualite totale ont-ils ete 
identifies ? 

3 



8 

Tous les risques lies a une insuffisance ou a 
une defaillance du dispositif de management 
durable de I’environnement ont-ils ete 
identifies ? 

3 



9 

Tous les risques lies a une insuffisance ou a 
une defaillance du dispositif de securite ont- 
ils ete identifies ? 

4 



10 

Avez-vous prevu un dispositif de reactualisa- 
tion automatique des risques ? 

4 




Total 

30 
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Impact financier, risque residuel 


Critere 

Poids 

Note 

Note 

globale 

1 

Le risque residuel postprocessus indemnisa- 
tion a-t-il ete systematiquement determine 
par scenario de crise ? 

4 



2 

Avez-vous mene une etude de faisabilite de 
location de compte captif de reassurance 
pour autofinancer les franchises ? 

1 



3 

Avez-vous mene une etude de faisabilite de 
creation d’une societe captive de reassu- 
rance pour mutualiser les risques de fre- 
quence maitrises ? 

2 



4 

Avez-vous envisage la constitution d’une 
provision pour propre assureur, pour les ris- 
ques purs sur lesquels ne porte pas une obli- 
gation d’assurance ? 

1 



5 

Avez-vous envisage le recours a la reassu- 
rance financiere pour trouver une deuxieme 
ligne de capitaux completant I’assurance ? 

4 



6 

Avez-vous envisage le recours a la reassu- 
rance financiere pour financer des risques 
emergents, non assurables ? 

4 



7 

Les risques de gravite sont-ils portes via un 
assureur aperiteur tiers ? 

3 



8 

Avez-vous specialise vos outils de finance- 
ments alternatifs par typologie de risques 
(retraite, IARD)... ? 

3 



9 

Le risque fiscal lie a ces montages est-il mis 
sous controle ? 

4 



10 

Le risque de non-sincerite des comptes lie a 
ces montages est-il mis sous controle ? 

4 




Total 

30 
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Risque informatique 


Critere 

Poids 

Note 

Note 

globale 

1 

Le risque informatique a-t-il ete decrit a partir 
du plan d’urbanisme/schema directeur des 
SI ? 

4 



2 

Le risque informatique a-t-il ete decrit a partir 
de I’architecture reseau ? 

1 



3 

Avez-vous construit une grille de scoring per- 
mettant d’identifier les applicatifs critiques ? 

2 



4 

L’efficacite du plan de reprise informatique 
est-elle testee regulierement ? 

1 



5 

Avez-vous fait proceder a une certification 
SAS 70 par un cabinet independant ? 

4 



6 

Avez-vous souscrit une clause « frais de 
reconstitution des medias » ? 

4 



7 

Avez-vous souscrit une clause « frais supple- 
mentaires d’exploitation informatique » ? 

3 



8 

Avez-vous souscrit une clause « extensions 
risques informatiques » ? 

3 



9 

Cette clause est-elle limitee a la criminalite 
informatique externe ? 

4 



10 

Les investissements de securite informatique 
sont-ils testes regulierement ? 

4 




Total 

30 
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Fiches methodes risk management 

Fiche methode construction d'un plan de reprise d'activite 
avant sinistre par centre de risque 

Presentation : l’objectif de cette fiche methode est de presenter la methodologie de 

construction d’un plan de reprise d’activite a titre preventif. 

Description de la methode 

La construction du plan de reprise d’activite par centre de risque passe par : 

• l’identification des processus critiques du centre de risque avant sinistre ; 

• l’identification des actifs critiques (moules, plans, etc.) par visite de site avant sinistre ; 

• l’identification des hommes cles via interviews avant sinistre ; 

• l’identification des ressources logistiques critiques avant sinistre (heures-hommes, 
heures-machines, m 2 , m 3 disponibles avant sinistre en intragroupe) ; 

• l’identification des sites de redeploiement des processus critiques sur les sites non 
sinistres du groupe disposant de ressources logistiques, ou la signature de contrats de 
back-up avec des tiers (sous-traitants, fournisseurs, constructeurs informatiques) ; 

• la definition des registres de communication de crise interne et exteme associee a 
ces plans de reprise d’activite. 

Conditions de reussite 

Realisation d’interviews collectives en mode brainstorming. 

Fiches associees 

Modalites de quantification des pertes. 

Fiche methode quantification des pertes par centre de risque 

Presentation : l’objectif de cette fiche methode est de quantifier les pertes generees 

par un sinistre majeur et d’estimer le cout residuel a la charge de l’entreprise. 

Description de la methode 

• Quantification des pertes materielles par centre de risque : valeur expertisee de 
l’immobilisation, quelle que soit sa qualification juridique X le pourcentage de des- 
truction estime de l’actif. 

• Quantification des pertes d’ exploitation : structuration du compte de resultat du 
centre de risque avant sinistre en differenciant les charges variables et les charges 
fixes. II est aussi necessaire de determiner le nombre de jours necessaires a la mise 
en oeuvre d’un plan de reprise degrade. 
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Estimation des consequences financieres d’un sinistre majeur sur le compte de 
resultat par centre de risque par : 

• estimation du pourcentage de diminution du CA ; 

- quantification des pertes humaines : somme liee a l’indemnisation securite 
sociale + eventuelle indemnisation liee a la souscription d’une police d’assu- 
rance-vie/deces, 

- quantification du cout de la remise en cause de la responsabilite civile fondee 
soit sur une exploitation de la jurisprudence existante, soit sur la construction 
d’un indice qualitatif estimant l’impact du sinistre majeur sur la surface finan- 
ciere. 

Le cout des pertes generees par un sinistre majeur est egal a la somme des quatre 
typologies de pertes. 

Le cout residuel a la charge du groupe est egal a la difference entre le cout global 
minore de l’indemnisation assurance ; 

• estimation du pourcentage de diminution des charges variables post-sinistre ; 

• estimation des nouveaux frais fixes apres sinistre (mesures conservatoires, fiais de 
reconstitution des medias, frais de demolition, frais d’expertise, etc.). 

Le montant des fiais apres sinistre est egal a la somme des fiais fixes avant sinistre 
+ % de diminution des charges variables + nouveaux fiais fixes generes par le 
sinistre. 

La perte d’ exploitation apres sinistre est egale a la difference entre le resultat analy- 
tique avant sinistre moins le resultat analytique apres sinistre. 

Conditions de reussite 

S’assurer de l’existence de compte de resultat analytique de centre de profit avant 
sinistre. 
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Extrait du rapport risk management du groupe EDF 2007 

Politiques sectorielles de controle des risques 
Controle des risques marches energies 

La politique de risques marches energies, formalisee par la decision du president- 
directeur general du 9 decembre 2005, codifie la gestion de ces risques pour le peri- 
metre d’EDF SA et des filiales controlees et precise 1’ ensemble du dispositif neces- 
saire a sa mise en oeuvre et au controle de son application. Pour les filiales regulees et 
les filiales co-controlees, la pobtique de risques marches energies et le processus de 
controle sont revus dans le cadre des instances de gouvemance de ces societes 
(conseil d’ administration, comite d’ audit). 

Cette note de pobtique decrit : 

• le systeme de gouvernance et de mesure, separant clairement les responsabilites de 
gestion et de controle des risques et permettant de suivre ; 

• l’exposition sur le perimetre ci-dessus defini ; les processus de controle des risques 
impbquant la direction d’EDF SA en cas de depassement des limites de risques. 
A noter qu’un dispositif de controle renforce est mis en place pour la fihale EDF 
Trading. 

Les objectifs de la pobtique de gestion et de controle des risques sont de : 

• permettre l’identification et la hierarchisation des risques dans tous les domaines en 
vue d’en assurer une maitrise de plus en plus robuste, sous la responsabihte du 
management operationnel ; 

• permettre aux dirigeants et aux organes de gouvemance d’EDF SA d’avoir une 
vision consohdee, reguherement mise a jour, des risques majeurs et de leur niveau 
de controle ; 

• contribuer a securiser la trajectoire strategique et financiere du groupe ; 

• repondre aux attentes et informer les parties prenantes extemes sur les risques du 
groupe et sur le processus de management de ces risques. Le perimetre de gestion 
des risques comprend les activites d’EDF SA et cebes des fihales controlees. II ne 
comprend done pas les filiales regulees et les fihales co-controlees qui assurent la 
gestion de leurs risques sous leur responsabihte respective. 

Le perimetre de controle des risques est celui du groupe, a l’exception des partici- 
pations. Ce controle est realise en direct pour le perimetre EDF SA et fihales controlees, 
ou par le biais des organes de gouvemance pour les fihales regulees ou co-controlees. 
D’une faf on generale, la gestion des risques est de la responsabihte des entries opera - 
tionnehes et fonctionnehes, pour les risques qui relevent de leur perimetre d’activite. 
Le controle des risques est assure par une filiere mise en place en toute independance 
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des fonctions de gestion des risques (completee par des filieres de controle specifi- 
ques notamment pour les risques marches financiers et marches energies). 

Cette filiere assure notamment une approche homogene en matiere d’identification, 
devaluation et de maitrise des risques. 

Selon ces principes, chaque semestre, en coherence avec les echeances associees a la 
pubhcation semestrielle des comptes consolides, EDF elabore la cartographic conso- 
Hdee de ses risques majeurs pour le perimetre d’EDF SA et des filiales controlees et 
co-controlees (a l’exception de Dalkia International). 

Cette cartographic consolidee est realisee a partir des cartographies etabhes par 
chaque entite operationnelle ou fonctionnelle sur la base d’une methodologie 
commune (typologie, principes d’identification, d’ evaluation, de mise sous controle 
des risques...). 

Chaque risque identifie fait l’objet d’un plan d’action decrit. 

Les risques majeurs sont places sous la responsabilite d’un pilote designe par le 
TOP4. 

La cartographic consolidee fait l’objet chaque semestre d’une validation par le TOP4 
et d’une presentation au comite d’audit du conseil d’ administration d’EDF SA. Elle 
fait egalement l’objet d’echanges frequents avec les etats-majors des principales 
directions contributrices et les membres de la filiere « controle des risques ». 

Le processus global de cartographic des risques constitue un support pour de 
nombreux autres processus : notamment 1’ elaboration du programme d’audit, la 
pobtique assurances et sa mise en oeuvre, la documentation financiere (notamment 
le chapitre « Facteurs de risques » du document de reference AMF), 1’ analyse des 
risques portant sur des dossiers examines par les organes decisionnels d’EDF (TOP 4, 
comite des engagements et des participations, CEP-dossiers combustibles, comite 
amont-aval trading, etc.). Le processus de controle des risques contribue notamment 
a la securisation du processus d’investissements et d’engagements long terme en 
veillant au respect des principes methodologiques d’ analyse des risques pour les 
dossiers presentes au comite des engagements et participations. 

En complement, une pobtique de gestion de crise, dont la demiere actualisation a 
ete signee par le president-directeur general en juin 2005, est mise en oeuvre sur le 
perimetre d’EDF SA et des filiales controlees. Elle consiste notamment : 

• a s’assurer de l’existence de dispositifs de crise pertinents, au regard des risques 
encourus, dans chaque direction d’EDF SA participant a la gestion de la crise et 
dans les filiales controlees ; 

• a definir les modalites de cooperation avec les filiales regulees en periode de crise ; 

• a verifier la coherence d’ ensemble. 

Un programme d’exercices de crise permet de tester regulierement l’efficacite de ces 
dispositifs et de capitabser les retours d’experience. Enfin, l’organisation de crise est 
regulierement reajustee, notamment a chaque changement significatif d’organisation y 
interne ou d’environnement exteme, ainsi qu’apres chaque retour d’experience de 
crise majeure. 
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La politique de gestion et de controle des risques d'EDF (document 
de reference 2007) 

Le comite d’ audit d’EDF SA rend un avis sur la politique de risques marches ener- 
gies et sur ses evolutions. Le TOP 4 valide annuellement les mandats de gestion de 
risques des entries qui lui sont presentes avec le budget. 

Controle des risques financiers 

EDF a mis en place un departement « controle des risques financiers », en charge de 
la maitrise des risques de taux, de change, de liquidite et de contrepartie pour les 
filiales controlees. Ce controle s’exerce via : 

• la verification de la bonne application des principes du cadre de gestion financiere, 
notamment au travers du calcul regulier d’indicateurs de risque et du suivi de limi- 
tes de risque ; 

• des missions de controle - methodologie et organisation - sur les entries d’EDF 
SA et les filiales controlees ; 

• le controle operationnel de la salle des marches d’EDF en charge de la gestion de 
la tresorerie. Pour ces activites, un systeme d’indicateurs et de limites de risque 
verifies quotidiennement est en place pour suivre et controler l’exposition aux ris- 
ques financiers. II implique le directeur tresorier du groupe, le chef de la salle des 
marches et le responsable du controle des risques financiers, qui sont immediate - 
ment saisis pour action en cas de depassement de limites. Un comite ad hoc verifie 
periodiquement le respect des limites et statue sur les modifications de limites spe- 
cifiques eventuelles. 

II est rendu compte de la mise en oeuvre des politiques de gestion des risques financiers 
au comite d’audit sur un rythme annuel. Rattache a la direction corporate finance et 
tresorerie de la direction financiere, ce departement a un hen fonctionnel fort avec la 
direction du controle des risques groupe en vue de garantir son independance. 

Controles specifiques 

Procedure d'approbation des engagements 

Le comite des engagements et des participations (CEP), preside par le directeur 
general delegue finances, examine l’ensemble des engagements du groupe, hors filiales 
regulees et filiales co-controlees, notamment les projets d’investissement, les projets de 
cessions et les contrats long terme « combustibles ». II valide tout investissement d’un 
montant superieur a 20 millions d’ euros. Depuis la fin de mars 2003, les reunions du 
comite sont systematiquement precedees d’une reunion ou sont associes les experts du 
niveau corporate (DCRG, DJ, DF...), afin de verifier l’exhaustivite et la profondeur 
des analyses de risques des dossiers presentes. Ces travaux s’appuient sur un referentiel 
» methodologique d’analyse des risques des projets de developpement qui integre 
T 1’ ensemble des impacts et en particulier la valorisation des scenarii de stress. 

I 
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Controle des systemes conformation (SI) 

• Organisation du controle interne de la filiere SI : le dispositif de controle interne 
de la filiere SI s’integre dans la politique de controle interne du groupe 
(propositions d’objectifs de controle a decliner par les entites operationnelles) et 
porte sur la mise en oeuvre des politiques de la filiere. Ces politiques touchent en 
particulier a la securite des systemes d’information, au pilotage des projets SI, a la 
gestion des risques SI et au respect des lois informatique et liberte. 

• Actions dans le domaine de la securite des SI : les orientations et 1’ organisation de 
la securite des SI sont definies dans deux documents de reference : la politique de 
securite des systemes d’information du groupe EDF et le referentiel de politique 
securite des SI d’EDF SA. Le deployment de ces politiques ainsi que le niveau de 
securisation sont suivis de facon trimestrielle par un comite securite, preside par la 
DSI Groupe, rassemblant les responsables de securite des systemes d’information 
de toutes les entites d’EDF SA. Le comite securite rend compte annuellement au 
comite des directeurs de systemes d’information. Une action a ete menee concer- 
nant la maitrise des risques lies a un sinistre majeur sur les principaux centres de 
calcul. Des plans de continuite d’activite sont definis et ont ete testes pour les 
applications les plus critiques pour le fonctionnement de l’entreprise. 

• Autres actions du domaine SI : une nouvelle politique informatique et liberte a ete 
definie et deployee sur le perimetre EDF SA en conformite avec la nomination fin 
2006 d’un correspondant informatique et libertes. La DSI groupe et la direction de 
l’audit ont lance conjointement un diagnostic concernant la robustesse du disposi- 
tif de controle interne sur les systemes d’information d’EDF. Ce diagnostic vise a 
ameliorer la maitrise par le groupe des risques lies aux SI ; ses conclusions sont 
attendues pour la fin du premier trimestre 2008. 

L' administration et la surveillance des filiales 

Toute societe filiale ou en participation (a 1’ exception des filiales regulees) est suivie 
par un directeur, membre du comex ou par son delegue. Celui-ci propose les admi- 
nistrateurs representant EDF au sein des instances de gouvernance de ces societes, et 
leur adresse une lettre de mission et une lettre d’objectifs. Une actualisation de ces 
rattachements est validee chaque annee par le comite des cadres dirigeants. 

La delegation administrateurs et societes, en place depuis 2002, veille tout 
particulierement : 

• a la mise a jour de la cartographic du rattachement des societes, en fonction des 
decisions prises par le TOP4 ; 

• au suivi des « compositions cibles », visions anticipees et collectives des competen- 
ces, ainsi que des profils necessaires a une bonne representation d’EDF au conseil 

des societes filiales et participations, en fonction de la strategic definie par les = 
directeurs de rattachement ; 
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• au respect du processus de designation des administrateurs, prealable managerial a 
la proposition de nomination (conformite a la composition cible, controle du 
nombre de mandats, avis du hierarchique de l’administrateur propose...) ; 

• a la professionnalisation des nouveaux administrateurs (formation initiale par l’uni- 
versite groupe, information via le site Internet de la communaute administrateurs, 
formation permanente via les seminaires et ateliers administrateurs). 

Autres politiques de controle 

EDF a egalement defini : 

• une politique sante-securite, signee par le president-directeur general en octobre 2003 ; 

• une politique d’ assurances presentee au conseil d’ administration du l er juillet 2004, 
suite au dossier presente aux administrateurs le 23 octobre 2003 sur la couverture 
du risque « tempete » pour les reseaux de distribution. Le conseil a alors pris acte 
du bilan presente sur la situation d’EDF SA et de ses filiales controlees au regard 
des risques assurables identifies et sur les couvertures mises en place. II a valide un 
programme de travail destine a renforcer la connaissance des risques assurables du 
groupe, a developper la dimension groupe des assurances, a ameliorer et optimiser 
les couvertures existantes et a mettre en place de nouvelles couvertures. A ce der- 
nier titre, le conseil a approuve, le 22 fevrier 2006 (apres avis du comite d’audit du 
17 fevrier), la mise en place du nouveau programme « dommages nucleaires », 
destine a couvrir les dommages accidentels importants qui pourraient toucher les 
centrales nucleaires d’EDF SA. 

Un point sur l’avancement de la mise en oeuvre du programme de travail du 
l er juillet 2004 a ete presente au comite d’audit du 5 mai 2006 et a celui du 2 avril 
2007, qui a approuve ses lignes de developpement futures. Le comite a egalement 
pris connaissance de la vision actualisee des risques assurables et des couvertures du 
groupe. En outre, le comite d’audit, regulierement informe des evolutions en la 
matiere, a recu une information, le 28 aout 2006, sur la finalisation des negociations 
relatives au programme « dommages nucleaires » et sur la mise en place de 1’ assu- 
rance « tous risques chantier » pour la tete de serie EPR a Flamanville. 

Reglementation liee a Sexploitation industrielle 

Dans le domaine de I’exploitation industrielle, de nombreuses procedures de 
controle existent et notamment pour le nucleaire, ou deux acteurs peuvent etre plus 
particulierement mentionnes : 

• l’inspecteur general pour la surete nucleaire (IGSN) qui s’ assure, pour le compte 
du president, de la bonne prise en compte des preoccupations de surete et de 
radioprotection dans toutes leurs composantes pour les installations nucleaires et 
dont le rapport annuel est publie a l’exteme ; 

• l’lnspection nucleaire, service directement rattache au directeur de la division pro- 
duction nucleaire (DPN), dont les actions de verification permettent d’evaluer le 
niveau de surete des differentes entites de la DPN. II peut etre note que ces 
champs ont fait l’objet d’un audit corporate en 2007. 
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La loi du 28 juin 2006 et son decret d’ application du 23 fevrier 2007 relatif a la secu- 
risation du financement des charges nucleaires imposent a l’entreprise de specifier 
dans un rapport les procedures et dispositifs permettant d’identifier, d’evaluer, de 
gerer et de controler les risques lies a 1’ evaluation des charges nucleaires et a la 
gestion des actifs de couverture. La premiere version du rapport, repondant aux 
exigences de la loi, a ete finalisee au mois de juin 2007 ; ce rapport comprend un 
volet specifique sur le controle interne et sa mise a jour se fera sur une base a minima 
triennale, avec actualisation annuelle. 

Dans les autres domaines (comme le controle des appareils a pression et la 
surveillance des barrages), chaque entite est responsable de la definition et de la mise 
en oeuvre des procedures de controle adequates. 

Autres reglementations 

Des controles sont egalement effectues sur fapphcation de la reglementation sociale et 
du travail. La mise en place de systemes de management, en particulier dans le domaine 
environnemental et de la sante-securite, a permis d’obtenir un meilleur controle de 
1’ application de la reglementation et d’anticiper les evolutions reglementaires. 
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Risk management dans le secteur bancaire 

Cartographie des risques operationnels 


Macro-risques Micro-risques 

Immeubles et infrastructure generale 

Rupture d’activite provoquee par des sinistres 

Incendies 


Inondation 


Autres catastrophes naturelles 


Indisponibilite d’une ressource 


Litiges 


Autres causes 

Technologie de I’information et communications 

Dysfonctionnements provoques par des sys- 
temes informatiques 

Pertes accidentelles d’integrite des donnees 


Erreurs de developpement 


Atteinte involontaire a la securite informatique 


Defaillance d’un fournisseur informatique 


Inadequation des SI 


Panne systeme, insuffisance, indisponibilite 
passagere de ressources informatiques 


Litiges 


Autres 

Relations avec le personnel et reglementation sociale 

Relations 

Problemes d’effectif, turnover excessif 


Licenciements 


Greves 


Hommes cles 


Autres 

Securite du travail 

Problemes d’hygiene et de securite 


Litiges 


Non-conformite reglementaire 

Discrimination 

Discrimination raciale 


Discrimination sexuelle 
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r ^ 1 

Macro-risques Micro-risques 

Supervision et realisation des traitements 

Saisie et traitement des transactions 

Erreurs humaines et involontaires 


Non-respect ou mauvaise interpretation des 
procedures 


Deficiences dans les procedures 


Inadequation des SI aux activites et produits 


Erreurs de reglement/livraison 


Mauvaise gestion des referentiels 


Litiges clients 


Autres 

Qualite de I’information et du reporting 

Inexactitude du reporting interne ou externe 


Inexactitude des declarations comptables et 
reglementaires 

Documentation clientele 

Absence de documentation de decharge 


Absence ou non-exhaustivite des documents 


Legaux 


Acces non autorise aux comptes clients 

Gestion des comptes clients 

Information donnee aux clients fausse 


Degradation des actifs clients 

Relation avec les contreparties commerciales 

Erreur d’une contrepartie 


Litiges avec les contreparties 

Relation avec les fournisseurs 

Erreur ou defaillance d’un sous-traitant 


Litige 

Risque projet 

Insuffisance dans la conduite des projets de 
changement 

Relation clientele produits et pratique commerciale/reglementation 

Risque fiduciaire et lie aux obligations regle- 
mentaires dans la gestion d’actifs 

Problemes dans la gestion collective d’actifs 


Methodes de vente inappropriees 


Infraction aux regies fiduciaires 


Informations fausses sur les caracteristiques 
et performance des produits 


Pratiques discriminatoires vis-a-vis de clients 


Atteinte a la vie privee ou a la confidentiality 


Violation du secret professionnel 


Rotation excessive des comptes clients pour 
generer des commissions 


Soutien abusif de credit 


Rupture abusive de credit ^ 
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r ^ 1 

Macro-risques Micro-risques 

Relation clientele produits et pratique commerciale/reglementation 

Pratiques commerciales ou de marche 
inappropriees/probleme deontologique 

Non-respect d’exigence legale et reglementaire 

Infraction a la legislation sur la concurrence 


Pratiques incorrectes sur les marches 


Delit d’initie interne 


Activite non autorisee non intentionnelle 


Financement du terrorisme 

Blanchiment 

Blanchiment d’argent 

Obligations reglementaires liees a un embargo 

Embargo 

Defauts dans les produits ou les modeles 

Produits defectueux on non autorises 


Erreur de modelisation 

Probleme de selection et de suivi clients 

Defaut de connaissance du client 


Depassement de limite client 

Vol/fraude malveillance 

Activites non autorises 

Absence d’informations sur les operations 
realisees 


Abus de pouvoir 


Activites non autorisees intentionnelles 


Dissimulation volontaire de position 

Vol, hold-up, agressions 

Vol 


Agression 

Fraude externe 

Fraude externe 


Fraude relative aux cartes bancaires 


Delit d’initie externe 

Fraude interne 

Fraude interne 


Fraude mixte 

Atteinte volontaire a I’integrite des SI et des 
donnees 

Malveillance informatique 


Vol et divulgation de donnees 
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Matrice d'exposition aux risques dans le secteur bancaire 


Cartographie des risques operationnels par processus metier 

Exposition au risque 


Elements de contexte susceptibles de faire 
varier le niveau d’exposition au risque 


Elements d’alerte traduisant I’existence de ris- 
ques 


Dysfonctionnements materialisant le risque 

Impacts des nouveautes et evolution 


Impact des nouveaux produits/nouvelles acti- 
vites/nouveaux clients 


Impact en termes de risques des nouveaux SI 
et organisations 


Impact des nouvelles reglementations 

Plan d’action 


Synthese des principales actions en cours 
visant a reduire le risque 


Actions complementaires prioritaires preconi- 
sees par le risk manager 
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Evaluation du risque brut et net 

Legende 


Evaluation 
du controle interne 



(1) Cotation risque brut 

1 acceptable 

2 a surveiller 

3 a reduire 

4 inacceptable 


Synthese des risques 
operationnels 


Risque Evaluation 
brut par le controle 
interne 


Risque 

net 


Qualite 


Themes 

transverses 


Pertes/incidents 

Plan de continuity 
des unites commer- 
ciales 


2 


3 


Ressources 

humaines 


Comptabilite 


1 Gestion commerciale 


Systemes informatiques 


Processus Ouvrir un compte 

Documenter 
les comptes clients 

MaTtriser des delegations de pouvoir 
et de signature 

Gerer le referentiel client 

Valider et acheminer les ordres du client 

Mettre en oeuvre les conditions 
particulieres du client 

Exploiter les donnees 
historique au niveau client 


Risque net/(3) 
Evaluation du risque 
Operationnel 

Exposition 
residuelle faible 

Exposition 
residuelle moderee 

Exposition residuelle 
importante 

Exposition 
residuelle forte 

Commentaires 
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2 Vente par canal general iste 

Themes 

Fournir un support technique aux vendeurs 


transverses 

Systemes informatiques 


Processus 

Produits et services attaches au compte 

Restitution au client d’informations 
de pilotage 

Produits de placement bilan 
Produit de placement tiers 
Monetique 



Documentation des operations 
de financement 



Prescription des partenaires et specialistes 
du groupe bancaire 



Prescription de partenaires hors groupe 



Synthesedesrisques R ' Sq f Evaluation Risque 

operationnels brut P ar lec ontrole net 

K interne 

Commentaires 

3 Vente par canal 1 2 3 

specialiste 

Themes 

Assurer la synthese client 


transverses 

Maitriser les techniques pointues 
Systemes informatiques 


Processus 

Produits de marches et derives 
Gestion de tresorerie et ingenierie des flux 
Monetique et especes grand commerce 
Produits de trade finance 
Fusions-acquisitions 


4 Vente par Internet 

Themes 

Securiser les processus transaction nels 


transverses 

Systemes informatiques 


Processus 

Promouvoir I’alternative Internet 



Fournir au client une cle d’acces confidentielle 



Assurer I’efficacite des services transactionnels 
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Exemple de communication de crise bancaire 

Communique de presse 


Paris, le 13 octobre 2008 


Dementi de rumeurs 

La Societe generale dement formellement les rumeurs malveillantes lui imputant des 
pertes significatives sur son activite de produits structures au cours des demiers jours, 
necessitant une recapitalisation de la banque, et annonce qu’elle demande a l’AMF 
d’enqueter sur ces rumeurs et leurs consequences sur le cours de son titre, comme 
elle en a le pouvoir en application de Particle 631-4 de son reglement general. 
Societe generale 

Societe generale est l’un des tout premiers groupes de services financiers de la zone 
euro. Avec 151 000 personnes dans le monde, son activite se concentre autour de 
trois grands metiers : 

• Reseaux de detail & services financiers, qui comptent plus de 30 millions de 
clients particuliers en France et a l’intemational. 

• Gestions d’actifs & services aux investisseurs, ou le groupe compte parmi les prin- 
cipales banques de la zone euro avec 2 733 milliards d’euros en conservation et 
381,4 milliards d’euros sous gestion a fin juin 2008. 

• Banque de financement & d’investissement, Societe generale Corporate & Invest- 
ment Banking se classe durablement parmi les leaders europeens et mondiaux en 
marche de capitaux en euros, produits derives et financements structures. 

Societe generale figure dans 3 indices internationaux de developpement durable : 
FTSE, ASPI et Ethibel. 
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Risk management dans les compagnies d'assurances 

Typologies d'impact d'un incident en conformite avec Solvency II 


Nomenclature des impacts 

Type Impact 

Nature 

Manifestation 

Impacts financiers 

Degradation des performances 
financieres 

Rentabilite, delais, volumes de 
fonds propres, pertes d’exploita- 
tion, frais supplementaires 
d’exploitation 

Manque a gagner 

Non-realisation ou abandon d’ope- 
rations, frais de reconstitution des 
medias 

Pertes financieres directes 

Sorties de fonds 

Pertes de valeurs (depreciations) 

Frais de reconstitution des medias 

Amendes, penalties, indemnisation 

Impacts commer- 
ciaux 

Perte de clienteles 

Mecontentement / contentieux 

Resiliation unilateral des contrats 

Perte de portefeuille 

Perte de parts de marche structu- 
relles 

Impacts en termes 
d’image 

Perte de credibility 

Interne (tensions sociales) 

Externe 

Atteinte a I’image du groupe 

Article defavorable dans la presse 
specialisee 

Baisse du cours de Bourse 

Perte d’image relayee par les 
medias nationaux et internationaux 

Diminution du cours de Bourse 

Impacts penaux ou 
disciplinaires 

Condamnations et sanctions 

Administratif 

Penal 
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Cartographie des processus dans le secteur assurance 


Processus de pilotage 

Definir et decliner la politique generate 

Determiner les objectifs a moyen terme 

Assurer la veille strategique 

Assurer la representation aupres des institutions et autorites de tutelle - lobbying 

Assurer la planification strategique et operationnelle via le balanced scorecard 

Definir les politiques pour atteindre ces objectifs 

Definir la segmentation marketing 

Conduire les demarches de partenariat et de prescription 

Decider des operations de croissance 

Definir la politique financiere 

Piloter le risk management 

Identifier et hierarchiser les risques 

Definir une methodologie de reference/ARM 

Identifier les risques, mesurer leur impact financier en euros 

Identifier et evaluer les controles en place et le niveau de couverture 

Realiser une cartographie des risques et des outils de controle 

Definir les outils de gestion de crise 

Piloter la maTtrise des risques 

Elaborer les outils de pilotage, key risks indicators 

Analyser les elements de reporting et retour d’experience 

Mettre en oeuvre et suivre les plans de reduction des risques 

Auditer et controler le niveau d’efficacite dans la maftrise des risques 

Elaborer un programme de risk management 

Piloter les self-assessments 

Mener les plans d’audits/missions 

Suivre la mise en place des recommandations et actions correctrices 

Piloter la gouvernance 

Etablir les reglements des organes de gouvernance du groupe 

Reglements interieurs et deontologie des autorites de gouvernance 

Definir les delegations internes de pouvoirs et de signatures 


Actualiser les delegations 
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Definir et controler les delegations internes 

Verifier le respect des obligations statutaires et legales 

Preparer et tenir les reunions du comite d’audit et du comite des risques 

Etablir les comptes rendus des reunions des organes de gouvernance 

Assurer les depots de publicity legale 

Autres obligations legales et reglementaires 

Etablir le rapport annuel sur le controle interne et le risk management 

Piloter la communication financiere vers les stakeholders 

Piloter la communication financiere vers les actionnaires individuels 

Autres zones geographiques a I’international 

Piloter la conformite avec les autres reglementations sur le controle interne « Sarbanes- 
Oxley » pour la zone Amerique du Nord) 

Piloter la strategie groupe 

Groupe 

Decliner les objectifs du groupe et definir les business plans 

Cadrer les objectifs de la societe mere 

Determiner les objectifs globaux et par entite du groupe 

S’assurer de la mise en oeuvre des objectifs sur les zones geographiques et unites d’affaires 

Anticiper I’atteinte des objectifs 

Reviser les objectifs globaux 

Filiales et societes affiliees etrangeres 

Decliner les objectifs et definir les previsions d’activite 

Valider le plan strategique de chaque filiale etrangere et consolider 

Apprecier les projets strategiques proposes par les filiales et societes affiliees + co-entrepri- 
ses 

S’assurer de la mise en oeuvre des objectifs 

Elaborer le reporting des filiales et des societes affiliees + co-entreprises 

Revoir la mise en oeuvre du plan strategique 

Superviser la communication 

Definir les objectifs de communication groupe 

Communication interne 

Definir les missions de communication 

Definir les medias et le mix medias 

Communication externe 
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Definir les strategies de communication par canal 

Definir le plan d’action de communication (par media et par cible) 

Mettre en oeuvre la communication 

Communication interne 

Assurer la veille, la collecte d’informations 

Apprecier la pertinence de la communication avec les objectifs du groupe 

Concevoir, verifier et valider les informations 

Realiser les actions de communication (mix promotion) 

Mesurer I’efficacite de la communication 

Communication externe 

Assurer la veille et analyser les resultats (tableaux de bord commerciaux) 

Concevoir les actions de communication et I’alignement avec les objectifs 

Formaliser et valider les actions de communication 

Mettre en oeuvre les actions de communication 

Etablir un reporting des actions de communication (efficacite) 

Sponsoring, mecenat et fondations 

Definir les objectifs et le plan d’action du mecenat et sponsoring 

Mettre en oeuvre le plan d’action du mecenat et sponsoring 


Processus de support 

Superviser les ressources humaines 

Gestion previsionnelle des emplois et competences 

Estimer les effectifs 

Gerer la bourse de I’emploi et la mobilite internationale 

Assurer la mobilite et le recrutement externe 

Superviser la formation (collective, individuelle) 

Piloter la masse salariale et les avantages au personnel 

Gerer un outil devaluation de performances et competences 

Superviser les parcours professionnels des salaries et les mutations 

Assurer la gestion administrative, statutaire des salaries 

Suivre le dossier individuel 

Coordonner le cycle de paie et effectuer les declarations fiscales-sociales 

Coordonner le temps de travail et les absences 
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Administrer les frais de mission 

Gerer le personnel en CDD, interim et stagiaires, expatries 

Assurer la medecine de prevention et du travail 

Coordonner les relations sociales et les structures de contre-pouvoir 

Piloter les entites de gouvernance 

Negocier les conventions, les accords d’entreprise 

Conseiller dans le domaine des affaires sociales et le droit du travail 

Piloter la conformite juridique et fiscale 

Piloter la veille juridique et la surete juridique 

Suivre revolution de la reglementation 

Interpreter la legislation et la traduire en regies de management 

Respecter les exigences reglementaires et contractuelles (conventions) 

ConnaTtre et diffuser les obligations reglementaires intragroupe 

Traiter les demandes des differentes entites du groupe 

Repondre aux demandes officielles et arbitrer 

Coordonner les engagements contractuels 

Gerer les engagements contractuels des assures 

Superviser les engagements contractuels vis-a-vis des prescripteurs 

Gerer les engagements contractuels vis-a-vis des societaires / des assures 

Gerer les engagements contractuels vis-a-vis des autres prestataires / parties liees 

Gerer les engagements contractuels vis-a-vis des salaries 

Coordonner les litiges 

Prevenir les litiges (mediation et precontentieux) 

Piloter les litiges (mediation et precontentieux) 

Gerer le contentieux 

Provisionner les dossiers (IAS 37) 

Analyser les resultats (reprise sur provisions) 

Exploiter les systemes d’information 

Organiser revolution du systeme d’information 

Decliner la strategie de I’entreprise en matiere de SI 

Definir I’organisation des SI et les regies de delocalisation / externalisations 

Superviser les regies d’assistance maitrise d’ouvrage 

Piloter le budget de fonctionnement et d’investissement de la DSI 

Financer les investissements informatiques et I’actualisation des frais de developpement 

US” 
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Recenser les besoins des metiers et faire un premier arbitrage 

Appliquer les regies de controle interne sur les projets informatiques 

Piloter les projets migration des SI et ERP/PGI 

Gerer les relations avec les SSII tiers et I’infogerance 

Prevenir les situations de crise informatique et simuler les plans de reprise d’activite informatique 

Developper et livrer des applicatifs informatiques 

Etudier la demande de la mattrise d’ouvrage 

Faire des etudes de faisabilite 

Piloter la phase de conception generate 

Piloter la phase de conception detaillee 

Parametrer 

Realiser les tests d’integration/recette technique 

Valider la solution 

Proceder aux tests de recettes 

Passer en phase de production 

Fonctionner en parallele 

Mettre en production la solution 

Realiser le bilan de projet/bilan de mise en production 

Suivre le project office 

Gerer les ateliers transverses (reprise des donnees, etc.) 

Mettre en oeuvre la conduite du changement 

Gerer la qualite et le controle interne du projet 

Gerer le fond documentaire projet et applicatif 

Exploiter les systemes d’information en interne et en externalisation/delocalisation 

Definir et gerer un niveau de service 

Gerer les performances et capacite 

Assurer une continuity de services 

Assurer la securite des systemes au niveau immateriel 

Garantir la securite physique des installations 

Gerer les donnees, apurer les bases 

Gerer la configuration des systemes 

Gerer les problemes et incidents - certifications SAS 70 

Gerer I’exploitation informatique 
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Gerer les moyens transverses 

Gerer les achats et le renforcement fournisseur 

Definir et analyser les besoins de I’entreprise 

Gerer le panel des fournisseurs potentiels et gerer les consultations 

Realiser/renouveler les appels d’offres 

Gerer la relation client/fournisseur actuel 

Gerer les moyens generaux 

Telephonie, standard, reservation visioconference 

Definir et analyser les besoins/les demandes - calcul de ROI 

Engager les commandes et suivre les depenses 

Gerer les moyens materiels 

Maintenance 

Definir et analyser les besoins et les demandes 

Engager les commandes et suivre les depenses dans I’ERP 

Gerer les moyens materiels 

Assurer la securite des biens et des personnes 

Zone Union europeenne 

Assurer la securite operationnelle 

Assurer la securite par anticipation 

Autres zones geographiques a I’international 

Assurer la securite operationnelle des expatries 

Gerer la comptabilite financiere 

Suivre et integrer la reglementation comptable 

Effectuer la veille reglementaire, participer aux principales instances 

Interpreter les normes et les avis techniques comptables (IFRS, US GAAP) 

Definir les schemas comptables autorises et les integrer dans les systemes 

Tenir la comptabilite (au fil de I’eau ) hors cut-off 

Administrer les referentiels comptables IFRS et US GAAP 

Mettre a jour/diffuser les procedures comptables IFRS et US GAAP 

Domaine assurances individuelles de personnes 

Passer les ecritures comptables (manuelles) 

Domaine valeurs mobilieres/OPCVM 

Passer les ecritures comptables (manuelles) 

Passer les ecritures comptables (semi-automatiques) 
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Domaine assurances collectives co- et reassurance 

Passer les ecritures comptables (manuelles) 

Domaine assurances collectives 

Passer les ecritures comptables (manuelles) 

Domaine Opex/charges d’exploitation 

Passer les ecritures comptables (manuelles) 

Passer les ecritures comptables (semi-automatiques)/classe 9-6 

Domaine immobilier et participations non cotees 

Passer les ecritures comptables (manuelles) 

Passer les ecritures comptables (semi-automatiques) - apurement de charges 

Effectuer les controles comptables et le controle interne associe 

Controles des flux (deversements) / administratif des flux 

Controler les comptes de bilan 

Suivre le budget (controle de gestion) - reviser le budget 

Collecter et controler les donnees 

Preparer les etats du budget et effectuer les actions correctrices en conformite avec la direc- 
tive Transparence 

Realiser et formaliser les analyses 

Repondre aux demandes d’explications et d’informations 

Analyser les resultats (comptabilite analytique) - analyse d’ecarts 

Collecter et controler les donnees 

Preparer les etats d’analyse et effectuer les actions correctrices 

Realiser les analyses et repondre aux demandes ponctuelles 

Arreter les comptes et gerer le projet Fast Close 

Domaine assurances individuelles 

Integration des donnees de gestion et interpretation 

Justification et ajustements des comptes 

Etablissement et comptabilisation des ecritures d’inventaire 

Analyse et comptabilisation des ecritures finales et administration de flux 

Integration des donnees de gestion 

Justification et ajustements des comptes (test Impairment) 

Etablissement et comptabilisation des ecritures d’inventaire 

Justification et ajustements des comptes - revue analytique 

Etablissement et comptabilisation des ecritures d’inventaire (IFRS 4) 
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Immobilier d’investissement (IAS 40) 

Participations non cotees 

Elaboration du dossier de cloture (arretes de comptes) 

Domaine frais et charges communes 

Saisie des factures et provisions 

Salaires, logiciels et dotations aux amortissements 

Refacturations intragroupe 

Ajustements comptables des frais generaux du perimetre Union europeenne 

Arrete des frais generaux 

Ventilation des charges corporate 

Repartition analytique en methode ABC (comptabilite par activite) 

Determination du chiffre d’affaires partenaire / reconnaissance du CA (IAS 18) 

Determination des provisions et des comptes techniques 

Reassurance/coassurance technique et financiere 

Production financiere et controle du resultat 

Domaine consolidation 

Travaux preparatoires a la consolidation IFRS - US GAAP 

Integration des donnees 

Retraitement consolidation, annulation Interco 

Edition des etats de synthese consolides et des annexes 

Realiser les declarations fiscales, impots differes 

Collecter les informations et les donnees 

Calculer I’assiette et I’impot et effectuer les ajustements 

Etablir les declarations fiscales et les liasses fiscales 

Payer I’impot (acomptes + solde) 
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Processus operationnels 

Concevoir et suivre les produits 

Comprendre et analyser les besoins 

Zone Union europeenne 

Etudier le marche et le comportement des consommateurs 

Identifier les besoins des consommateurs 

Identifier les besoins du distributeur 

Evaluer les enjeux pour I’assureur 

Concevoir I’offre 

Formaliser I’offre d’un produit d’assurance 

Realiser I’etude d’opportunite commerciale 

Realiser I’etude de faisabilite 

Elaborer la tarification (individuelle & collective) 

Etudier la rentabilite (individuelle & collective) - ROI 

Faire valider le produit par les autorites de gouvernance (individuel & collectif) - AMF 

Elaborer les nouveaux produits ou customiser les produits existants 

Rediger la fiche produit et les documents contractuels - individuel & collectif 

Finaliser la tarification - conditions de reassurance - individuel & collectif et co-assurance 

Obtenir les autorisations reglementaires - individuel & collectif 

Test commercial et enquetes clients sur les nouveaux produits - individuel 

Elaborer la communication client - individuel & collectif 

Elaborer le cahier des charges du produit - individuel & collectif 

Mise en gestion et recettage/industrialisation de I’offre 

Recetter les applications - activer les frais de developpement 

Mettre en exploitation 

Produire sous controle 

Exploiter les systemes 

Distribuer les produits 

Definir les objectifs annuels et formaliser les plans de deployment 

Negocier les objectifs de vente avec le partenaire 

Decliner les objectifs et elaborer le plan d ’action commercial 

Mettre en oeuvre le plan d’action commercial 

Realiser les supports marketing et mix marketing 

Former les reseaux commerciaux et partenaires ^ 
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Animer les reseaux commerciaux (agents generaux) 

Vendre et suivre la realisation des objectifs 

Vendre au partenaire 

Suivre les resultats 

Determiner les actions correctrices 

Assurances individuelles 

Definir les objectifs annuels et formaliser les plans de deployment 

Negocier les objectifs de vente avec le partenaire 

Valider les actions commerciales avec le partenaire 

Mettre en oeuvre le plan d ’action commercial 

Realiser les outils d’aide a la vente 

Realiser les supports marketing + mix marketing 

Faire souscrire et emettre le contrat 

Retranscrire les informations client 

Saisir et valider la souscription 

Controler les documents contractuels et administratifs 

Controler le dossier d’adhesion ou de souscription 

Saisir et emettre les documents 

Traiter les anomalies, les cas exceptionnels incured but not reported (IBR) 

Archiver les documents du dossier d’adhesion/souscription 

Appeler et encaisser les primes/cotisations 

Encaisser les primes et regulariser les impayes 

Encaisser les primes 

Appeler les primes de versements reguliers 

Encaisser les primes 

Traiter les impayes et recouvrer les primes 

Affecter les versements 

Suivre la vie du contrat 

Enregistrer les modifications de nature administrative 

Enregistrer les modifications de nature contractuelle 

Traiter les avances 

Gerer les placements 

Domaine valeurs mobilieres 

Determiner les strategies d’investissements 
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Gerer I’adossement actif/passif 

Definir les strategies financieres 

Gerer les limites par emetteur et le risque credit groupe 

Gerer la tresorerie et les portefeuilles financiers 

MaTtriser le niveau de tresorerie 

Passer les ordres sur les portefeuilles long terme 

Gerer les placements de tresorerie 

Gerer les garanties annexes 

Adossement actif/passif des UC (unites de credit) 

Gestion postmarche 

Valoriser 

Suivis particuliers 

Comptabiliser et calculer les resultats des portefeuilles 
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Cartoaraphie des processus dans le domaine des mandats de gestion 
d'actifs du secteur assurance 


Processus 

Acti vite/p roce d u re 

Gerer les risques 


Gerer la mise a jour du pro- 
gramme d'activite 

Suivre le programme d'activite, les donnees legates, 
I'adhesion 

Gerer le controle interne 



Etablir la charte de controle interne et le plan de controle 
annuel en conformite avec solvability 2/8 e directive euro- 
peenne sur I’audit legal 


Gerer les procedures (procedure des procedures) 


Definir les regies pour la creation et la commercialisation des 
nouveaux produits en conformite MIF 


Gerer les enregistrements telephoniques en conformite CNIL 

Controler les activites 



Realiser les controles de second niveau conformement au plan 
de controle Solvency 2/8 e directive europeenne sur I’audit legal 


Controler les delegataires de gestion 


Controler les prestataires - intermediaires, depositaires 


Realiser les controles de second niveau des ratios reglemen- 
taires et statutaires solvability 2 


Realiser la synthese des controles et suivre les actions correcti- 
ves ou d 'amelioration prevues/produire les Key Risks Indicators 


Assurer les controles de conformite 


Realiser les controles periodiques par I’audit interne 

Gerer la conformite 



Definir les codes, chartes, regies et modalites - deontologie, 
conflits d'interets, muraille de Chine, cadeaux et avantages, 
personnel sensible, whistle blowing en conformite avec le 
code ethique et deontologique 


Suivre la mise en oeuvre des regies chartes, codes et modali- 
tes conformement a la reglementation et a I’audit de legality 


Rediger et diffuser les rapports de suivi selon la reglementation 
en vigueur (droit bancaire et droit des assurances) 


Assurer veille reglementaire (projets de directives europeennes 

Gerer la security 



Definir et suivre le Plan de continuity de I’activite et les proce- 
dures de gestion de crise associees 


Gerer les habilitations de signatures et delegations de pouvoir 

Gouverner I'entreprise 


Gouverner I'entreprise 



Definir et piloter les strategies 

C3T- 
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Creer les produits et les suivre 


Creer les produits et les suivre 



Concevoir les produits financiers 


Etudier la faisabilite de la demande entreprise via appels d’offres 


Suivre la creation des nouveaux OPCVM 


Gerer le comite des nouveaux produits via le comite d’audit 

Gerer les relations commerciales 



Assurer la relation client et commerciale 

Entrer en relation avec de nou- 
veaux clients 



Qualification du besoin du client 


Classification des clients en conformite MIF 


Tenue et mise a jour des dossiers clients 

Optimiser la gestion des 
fonds 


Gerer les OPCVM - activites 
financiers 



Definir et mettre en oeuvre les politiques de taux 


Definir et mettre en oeuvre les politiques ALM 


Definir et mettre en oeuvre les politiques pour la multigestion 


Selectionner les intermediaires, les brokers 


Intervenir sur les marches a terme et de gre a gre 


Passer les ordres 


Passer les ordres sur OPCVM 


Valider les VL (valeurs liquidatives) suite a prevalidation middle 
office 


Analyser les performances 


Mettre en oeuvre les decisions de CS (conseil de surveillance) / 
CA (conseil d’administration) 


Gerer les titres 

Gerer les comites d'investis- 
sement et d’engagement 



Preparer les comites d'investissement et reporter au comite d’audit 


Mettre en oeuvre les decisions des comites d'investissement et 
d’engagement 

Realiser les operations 
non financiers sur OPCVM 



Definir les politiques de vote et de controle 


Repondre aux demandes d’informations 

n® 1 - 
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Controler la gestion 
sur les fonds, informer 


Controler les operations 
realisees par les 
gerants/gestionnaires 



Pre-valider les VL (Valeurs liquidatives) 


Controler et suivre la tresorerie 


Controler les operations initiees par les gerants/gestionnaires 


Controler les delegations financieres 


Controler et suivre le risque de contrepartie 


Suivre les ratios statutaires 

Realiser les operations diverses 



Suivre les interfaces SI et I’administration des flux 

Gerer les retrocessions de com- 
missions sur OPCVM externes 



Gerer les retrocessions de commission 

Realiser les reportings 
sur les OPCVM gerees 



Controler et suivre les donnees financieres - referentiel et 
reporting periodique IFRS/Domestic GAAP/US GAAP 


Realiser le reporting mensuel IFRS/Domestic GAAP/US GAAP 


Realiser I'information aux porteurs de parts (performance des 
portefeuilles) 

Gerer les conseils de sur- 
veillance (CS)/CA (Conseil 
d’Administration) 



Gerer les membres des CS/CA 


Gerer les plannings et les convocations des CS/CA - Secretariat 
des Societes 


Etablir dossier presente au CS/CA 


Gerer les presences aux CS/CA 


Archiver les proces-verbaux (PV) des CS/CA 


Suivre les mises en oeuvre des decisions CS/CA 

Realiser les reportings 
sur les mandats 



Controler et suivre les donnees financieres - referentiel et repor- 
ting periodique en conformite IFRS/Domestic GAAP/US GAAP 


Controler et suivre le risque de contrepartie 


Suivre a priori et a posteriori les ratios statutaires Solvency 2 


Realiser le reporting mensuel IFRS/Domestic GAAP/US GAAP 

US’- 
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IBS, 


Gerer la comptabilite 
des OPCVM 


Gerer les operations 
comptables sur OPCVM 



Creation de portefeuille 


Valoriser les OPCVM (et definir regies et methodes de valorisa- 
tion), suivre i'equilibre du nombre de parts en conformite IAS 
39 revision d’octobre 2008 


Etablir les documents periodiques reglementaires en conformite 
IFRS 7 


Suivre a posteriori les ratios reglementaires Solvency 2 


Controler les erreurs de valorisation/IAS 39/tests de depreciation 


Gerer les fonds garantis 

Realiser le suivi des differentes 
remunerations 



Gerer les commissions de mouvement sur OPCVM 


Gerer les frais de gestion variables sur OPCVM 

Gerer les retrocessions 
sur OPCVM 


Realiser les taches liees au pilo- 
tage 



Definir i'ensemble des activites liees au pilotage 


Gerer les differentes taches liees au pilotage 

Gerer les fusions absorp- 
tions OPCVM 


Organiser le controle operation- 
nel 



Definir ('organisation et les missions du controle operationnel 


Presenter les outils de suivi et tableaux de bord integrant les KRI 

Gerer les RH et les relations 
sociales 


Gerer les collaborateurs 



Deontologie, MIF/competences et implication 


Gerer les detachements et remunerations 

Decrire les fonctions 
specifiques liees aux mandats 
de gestion/gestion d’actifs 


Gerer la reglementation 
juridique et fiscale 


Gerer les agrements AMF- crea- 
tion OPCVM, mutation OPCVM, 
changements d'acteurs 

Gerer les relations avec le regulateur 


Realiser le suivi (depositaire...) 

C5T- 
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Assurer la veille reglementaire 

Organiser le lobbying 

Gerer les conseils 
de surveillance 

Verifier le niveau de competences des membres 


Realiser les proces-verbaux des CS/CA 


Suivre le programme d'activite, les donnees legales, supervi- 
ser le secretariat des societes 

Gerer les systemes d’infor- 
mation (SI) 


Gerer les applications SI 

Monter en puissance les releases 

Gerer les demandes devolu- 
tions SI 

Coordonner I’analyse fonctionnelle 

Gerer les interfaces entre SI 

Synchroniser les interfaces 

Gerer la securite des applica- 
tions 

Tester les regies de securite applicative 

Gerer le Plan de secours infor- 
matique 

Tester les plans de reprise d’activite informatique 

Gerer la comptabilite 
et les finances 


Assurer la gestion comptable 



Definir les regies comptables IFRS/Domestic GAAP/US GAAP 


Gerer la comptabilite financiere 


Arreter les comptes et realiser les bilans en integrant la direc- 
tive transparence 


Realiser les documents d'information reglementaires 

Suivre et gerer la tresorerie 



Suivre et gerer les fonds propres IFRS 7 


Realiser les rapprochements bancaires 


Gerer les acomptes sur dividendes 

Gerer les fournisseurs 



Gerer la facturation des fournisseurs 

Gerer la comptabilite 
et les finances 


Gerer les budgets et les busi- 
ness plans 



Elaborer le budget (charges et ressources) en conformite avec 
la directive transparence 


Suivre les budgets, realiser les analyses (notamment definir les 
regies d'analyses et les criteres), les integrer dans le dispositif 
de communication financiere 

Gerer les retrocessions 
sur OPCVM externes 
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Exemple de polices d'assurance souscrites par un programme 
d'assurance 

Exemple d’une police globale informatique 


Garanties de base 


Biens assures 

Tout materiel informatique 

Logiciel, progiciels 

Garantis au repos, en activite 

Faits generateurs garantis 

Incendie, explosion 

Dommages electriques, electroniques 

Bris de machine 

Degats des eaux 

Tempetes, ouragans 

Catastrophes naturelles 

Chutes, heurts 

Grele, gel 

Tremblement de terre 

Greves, emeutes 

Chutes d’aeronefs 

Franchissement mur du son 

Malveillance deliberee 

Sabotage 

Contamination virale 

Vol, intrusion, effraction 

Utilisation fausses cles 

Maladresse, negligence 

Utilisation non autorisee de ressources informatiques interne/externe 

DS=-I 
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Clauses TRI et ERI 

Pertes financieres generees par un dommage materiel et/ou immateriel 

Informatique 

Frais de reconstitution d’archives 

Frais de reconstitution des medias 

Frais supplementaires d’exploitation informatique 

Location d’un ordinateur de remplacement 

Frais de communication de crise interne et externe liee au plan de survie 

Extension risques informatiques 

Garantie pertes de fonds affectant les comptes de la classe 5 (VMP, CCP, banque) 

Caisse, regies d’avances, virements internes, provision des depreciations de VMP 

Jeux d’ecritures illicites en cas de detournement 

Virements effectues pour le compte de clients en cas d’acte de malveillance 

Paiement des agios bancaires 

Paiement des loyers restant a couvrir si recours a la location financement 
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Exemple de programme d’assurance responsabilite professionnelle d’une compagnie 
d’assurances 


Polices d’assurance 

RC professionnelle 


Faits generateurs metier assurances, co- et reassurance 

Convention speciale detournements 

Escroquerie 

Detournement, abus de confiance 

Faux en ecriture, perte de fond et valeurs consecutives a une creation, modification 
Suppression d’informations passibles de poursuites penales 

Autres clauses 

Insuffisance de moyens 

Erreurs ou omissions dans les ordres de la clientele 

Erreur de saisie de RIB 

Erreur de montant dans la saisie 

Erreur de saisie sur le nom ou prenom du souscripteur 

Rachat de capital suite a homonymie 

Rachat de capital suite a imitation de signature 

Changement de clause beneficiaire creant un prejudice par rapport au beneficiaire initial 
Modification de clause beneficiaire entre demande de mise sous tutelle et mise sous tutelle 
effective du souscripteur 

Designation beneficiaire d’une association non reconnue d’utilite publique non identifiee par la 
compagnie au moment de la souscription 

Pertes pecuniaires favorisees par une negligence de 1’ assure ou par inobservation de regies de 
prudence dans le secteur bancassurance 

Refus ou omission de renouveler ou de resilier un contrat d’assurance ou un traite de reassu- 
rance non justifie 

Refus ou omission ou retard dans le reglement d’un sinistre 
Erreur ou omission faites par un souscripteur de la compagnie 

Infraction avec la loi securite financiere du 13 octobre 2003, dont : 

Article 39 re forme demarchage bancaire et financier 

Article 42 reglementation de la profession de conseiller en investissements financiers 
Article 47 exercice des droits, notamment de vote, attaches aux titres detenus paries OPCVM 
gerees par les societes de gestion de portefeuille 

Defaut de conseil 

Vente de produits inappropries compte tenu du statut patrimonial du client 

Versement de fonds a un mauvais beneficiaire avec erreur imputable au commettant 

Manque de performance des actifs en representation 

Mauvaise interpretation des normes IFRS 

Erreur d’arbitrage dans I’allocation des actifs financiers 
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Non-conformite des visites de site realisees par I’AMF dans le cadre du controle des portefeuilles 

Erreur de constitution de dossier ou non-respect des delais dans la procedure d’agrement 
AMF en termes de creation d’OPCVM 

Avertissement, blame, interdiction temporaire ou definitive d’une partie ou de la totalite des activites 

Sanctions pecuniaires du conseil de discipline des OPCVM 

Erreur ou retard de publication dans la production de la valeur liquidative 

Erreur de transmission dans I’identification des acteurs 

Erreur de transmission dans la caracterisation en cas de changement de structure de I’OPCVM 

Declaratif des autres metiers du groupe combine 
Activite d’assurance et de reassurance 
Activite d’ingenierie et de prevention des risques 
Activites de courtage d’assurance ou de reassurance 
Activites immobilizes 
Prestations de services informatiques 
Prestations de services logistiques 
Gestion epargne salariale 

Activite de gestion de portefeuille et de placement 

Production et negoce en vin 

Credit-bail immobilier 

Protection juridique 

Recouvrement de creances 

Assistance et information 

Multiservices pour particuliers 

Aide aux personnes handicapees 

Gestion de centres sportifs 

Remise d’objets publicitaires 

Activites annexes connexes et/ou complementaires 

Soins medicaux 
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Extrait du rapport risk management du groupe AXA, 2007 

Les informations de cette section viennent en complement de la « Note 4 aux etats 
financiers consolides », inclus dans la partie V de ce Rapport annuel, et sont couvertes 
par l’opinion des commissaires aux comptes sur les etats financiers consolides. AXA 
est expose aux risques des marches financiers au travers de ses activites de protection 
financiere ainsi qu’au travers du financement de ses activites dans le cadre de la 
gestion des fonds propres et de la dette. Ces deux problematiques distinctes peuvent 
etre synthetisees comme suit : gestion actif - passif des portefeuilles d’assurance. 
L’une des fonctions de base de l’activite d’assurance consiste a investir les primes 
repues des cbents en attendant de regler les sinistres eventuels. L’investissement de 
ces primes doit tenir compte des conditions dans lesquelles ces sinistres sont regies. 
C’est le domaine de la gestion actif - passif. De fa$on a proteger et a maximiser ses 
benefices, AXA gere activement son exposition aux risques de marche. 

La gestion du risque de marche est d’abord de la responsabilite des filiales. Celles-ci 
ont en effet une connaissance precise de leurs produits, de leurs cbents et de leur 
profil de risque. Cette approche leur permet de reagir de maniere precise et ciblee et 
de s’adapter aux variations des conditions des marches financiers, aux cycles du 
secteur de l’assurance et plus generalement aux modifications de leur environne- 
ment politique et economique. 

De nombreuses techniques de gestion des risques sont utilisees pour controler et 
optimiser le niveau de risque de marche auquel les entites operationnelles du groupe 
AXA et le groupe lui-meme sont exposes : 

• Gestion actif - passif et, particulierement, definition d’ allocations strategiques 
d’actifs optimales. 

• Couverture des risques financiers lorsqu’ils depassent le niveau de tolerance que le 
groupe s’est fixe. Ceci comprend en particuher la couverture de garanties planchers 
sur produits d’epargne en unites de compte (« variable annuities »). Tous les produits 
necessaires a la mise en place de programmes de couverture avec recours aux instru- 
ments derives sont executes avec l’assistance des equipes speciahsees des gestionnaires 
d’actifs du Groupe (AXA Investment Managers et Alliance Bernstein). 

• La reassurance est egalement utilisee dans les produits de type GMIB (« guaranteed mini- 
mum income benefit », une garantie dans le cadre des sorties en rente sur les produits 
d’epargne en unites de compte) comme outil de reduction des risques financiers. 

• L’equihbre global de la gamme de produits permet de profiter d’eventuels effets de 
couverture naturels entre differents produits. 

• Des analyses d’ exposition sont effectuees afin de piloter certains risques specifique- 
ment identifies. 

• L’exposition d’AXA aux risques de marche est minoree par la diversite de ses acti- 
vites et de ses implantations geographiques, permettant ainsi d’obtenir une bonne 
diversification des risques. En outre, en vie, epargne, retraite. 
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AXA realise une part importante de ses activites sur des produits en unites de 
compte pour lesquels la majorite des risques financiers est supportee directement par 
les assures (la valeur pour l’actionnaire reste, neanmoins, sensible a revolution des 
marches financiers). 
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